應用漏洞掃描工具要求具有針對Web應用和Web服務接口的黑盒漏洞掃描能力�����。能夠快速爬網(wǎng)���,并有針對性的對網(wǎng)頁進行黑盒漏洞測試,同時對掃描到的漏洞����,提供漏洞的描述��、該漏洞緩解方法�、漏洞驗證方法等信息��。以便于快速定位應用漏洞�����,并根據(jù)提供的緩解辦法��,盡快對漏洞進行修補���。
主要功能指標
1���、提供全面的漏洞規(guī)則庫���,覆蓋WASC和OWASP兩大Web安全標準組織定義的主流的各種攻擊技術和手段�,包括但不限于:Brute Force���、Insufficient Authentication��、Credential/Session Prediction����、Insufficient Authorization�、Insufficient Session Expiration����、Session Fixation�����、Content Spoofing����、Cross-site Scripting���、Buffer Overflow���、Format String Attack����、LDAP Injection����、OS Commanding、SQL Injection�、SSI Injection、XPath Injection�����、Directory Indexing、Information Leakage���、Path Traversal��、Predictable Resource Location���、Abuse of Functionality、Denial of Service�����、Insufficient Process Validation等攻擊技術和方法�����,其中����,對于Cross Site Scripting,能夠檢測至少20種變種��;對于SQL Injection�����,能夠檢測至少40種變種��;
2�、支持掃描規(guī)則庫的在線和手動升級�����、自定義規(guī)則����,以及規(guī)則的導入和導出;
3��、支持Web應用的技術�����,如JavaScript�����、HTTPS以及認證等�,以便確保發(fā)現(xiàn)URL的完整性;
4、支持從Flash, PDF, Office等類型文檔中發(fā)現(xiàn)URL�,并展開安全測試;
5���、能夠測試順序業(yè)務邏輯,如新開帳戶和進行在線購買�;
6、支持對Web service應用系統(tǒng)的安全漏洞掃描����,并自帶Web Service服7、支持常見的Web認證方式(表單�、驗證碼�����、NTLM等)����;
7、 支持HTML爬蟲和SSL��;
8、支持用戶編輯報告����,為開發(fā)和質(zhì)量管理人員修復安全缺陷提供幫助�����,添加自定義注釋或詳細信息�����。
9、支持“玻璃盒”掃描技術�,即不僅可以收到應用的掃描響應,也可監(jiān)控Web服務器內(nèi)部的響應���;
10、支持適用于手機瀏覽器客戶端瀏覽的Web應用的漏洞掃描��,至少可模擬如下類型的移動設備瀏覽器:Chrome��、Opera��、Safari、Google Android�����、Blackberry���、IE 移動版�����。
