四款掃描器:
appscan IBM公司
awvs 國外
xray 長亭科技
Netsparker 俗稱“鯊魚”
另外補充:綠盟極光、安恆明鑒。
一、appscan
本次案例:版本10.0.4破解版,安裝完成后許可證顯示已經生效。
掃描網頁:虛擬機上IIS搭建的站點,IP、端口:10.0.0.211:81
掃描過程與結果:
二、AWVS
安裝完成后,在網頁端打開。
可以看到詳細的漏洞分析。需要再對漏洞進行驗證。
三、 Xray
按照網站要求配置好相關設置。
官網:
https://docs.xray.cool/#/README
正向掃描:(直接爬取對方頁面,無需設置代理)
xray_windows_amd64 webscan --basic-crawler http://10.0.0.211:81/ --html-output xray-crawler-testphp.html
最終自動生成報告
反向掃描(在本地瀏覽器設置代理,點一下頁面出一個報告,此項該軟件比較好用):
xray_windows_amd64.exe webscan --listen 127.0.0.1:7777 --html-output xray-testphp.html
四、Netsparker
五、總結
1.掃描器的好壞由幾個因素決定:
爬行能力:參數不盡相同。
漏洞庫:大小不盡相同。
誤報率:准確率越高越好。
2.awvs(版本14)總體上比appscan(版本10)好用。
3.傳統漏洞國外比國內強,但對於國內的網站是國內的掃描器強於國外。