{AppScan}黑盒掃描工具

AppScan? 是一個適合safety engineering的 Web 應(yīng)用程序和 Web 服務(wù)滲透測試解決方案。

關(guān)鍵功能：

· 對現(xiàn)代 Web 應(yīng)用程序和服務(wù)執(zhí)行自動化的動態(tài)應(yīng)用程序安全測試 (DAST) 和交互式應(yīng)用程序安全測試 (IAST)。

· 支持 Web 2.0、Javascript 和 AJAX 框架的all round Javascript 執(zhí)行引擎。

· 涵蓋 XML 和 JSON 基礎(chǔ)架構(gòu)的REST Web 和 SOAP 服務(wù)測試支持 WS-Security 標準、XML 加密和 XML 簽名。

· 詳細的漏洞公告和修復(fù)建議。

· 40 多種合規(guī)性報告，包括支付卡行業(yè)數(shù)據(jù)安全標準 (PCI DSS)、支付應(yīng)用程序數(shù)據(jù)安全標準 (PA-DSS)、ISO 27001 和 ISO 27002，以及 basel II。

.提供的自定義功能和可擴展性。

滲透測試應(yīng)用安全expert團隊以模擬惡意hacker的攻擊方法，在不影響業(yè)務(wù)系統(tǒng)正常運行的情況下在漸進逐步的找到系統(tǒng)弱點、技術(shù)缺陷或安全漏洞等，進而協(xié)助客戶解決系統(tǒng)存在的一系列安全問題，提高系統(tǒng)的防御能力，并出具滲透測試報告。

應(yīng)用類型支持：Web應(yīng)用、移動APP應(yīng)用、Web Service、Rest API等。

審計類型支持：路徑遍歷、可預(yù)測資源位置、認證不充分、蠻力、郵件命令注入、目錄索引、內(nèi)容電子欺騙、會話預(yù)測、權(quán)限不足、遠程文件包含、HTTP請求分割/響應(yīng)分割、拒絕服務(wù)等900+類型。

滲透測試工具支持：Appscan、Webinspect。

一、對比分析我們使用WebGoat做為測試用例，來分析一下兩個產(chǎn)品的差異。

1、使用工具：

?Fortify SCA ?SonarQube

2、使用默認規(guī)則，不做規(guī)則調(diào)優(yōu)。

3、掃描后直接導(dǎo)出報告，不做審計。

二、掃描問題總覽

Fortify SCA掃描結(jié)果報告：

從上邊可以看出：Fortify掃描出Critical和High級別的漏洞共計757條。

SonarQube掃描出阻斷和嚴重級別的漏洞為28條，關(guān)于軟件質(zhì)量問題有2K+條。

Fortify掃描出來的內(nèi)容，基本上都是和安全相關(guān)的信息。例如：?Privacy Violation?Cross-Site scripting: Reflected?Cross-Site scripting: Persistent?SQL Injection