在Web应用程序漏洞扫描器基准
商业,SAAS和开放源代码扫描器
的准确度,覆盖率,多功能性,适应性, 功能和价格的比较63黑盒Web应用程序漏洞扫描和SaaS服务
第一部分
由陈吉文
信息安全研究员,分析师,工具作者和演讲者
主办单位
由多个内容捐款
2014年2月
评估环境: WAVSEP 1.5, WIVET V3-rev148,ZAP-WAVE(WAVSEP集成),各种未公开的验证平台
https://code.google.com/p/wavsep/,http://www.sectoolmarket.com/
sectooladdict-{在} Gmail的{点}-COM
谷歌翻译的比较傻逼想看原文的请戳:http://sectooladdict.blogspot.ro/2014/02/wavsep-web-application-scanner.html
目录
1。介绍
2。测试Web应用程序的扫描仪列表
3。基准概述与评估标准
4。受封于基准的结果
5。惊喜,惊喜!
6。如何阅读和使用结果 – 重要
7。测试I – 扫描仪多功能性 – 输入向量支持
8。测试二 – WIVET – 通过自动爬行覆盖
9。介绍了各种精度评估
10。测试三 – 未经验证的重定向的检测精度(新!)
11。测试四-备份/隐藏文件的检测精度 (新!)
12。测试V – 路径遍历/ LFI的检测精度
13。测试六 – 射频干扰(XSS通过RFI)的检测精度
14。测试七 – 反映XSS的检测精度
15。测试八 – SQL注入攻击的检测精度
16。测试九 – 攻击媒介支持 – 计数审核功能
17。测试X – 扫描仪适应性 – 抓取和扫描壁垒
18。测试XI – 身份验证和可用性功能比较
19。测试十二 – 皇冠上的明珠 – 业绩及特点与定价
20。额外的比较,内置产品和许可证
21。是什么改变了?
22。初步结论 – 开源与商业
23。验证的基准测试结果
24。所以,现在做什么?
25。推荐阅读书目:扫描仪基准
26。致谢
27。附录A – 工具不包括在测试名单
1。介绍
| 详细结果在简报http://www.sectoolmarket.com/工具,特点,结果,统计和价格比较
(删除缓存之前查看) |
一个分步指南选择合适的Web应用程序漏洞扫描器*你*信息安全岛 |
它是时髦地迟到,但时间终究来了。几个月的研究终于结出了硕果与出版每年的WAVSEP基准,第 四个在系列。这是一个非常令人兴奋的一年,许多新的事情发生。我想与大家分享其中的一些,项目进展如下:
我注意到该项目被列入各种商业供应商的许多继续一体化进程,最近,甚至在开源项目(例如-类似的过程ZAP)。同样的商业供应商,以及同事和我的人在世界各地的会议见面,引起了我的注意,全球各政府机构和机构使用该平台作为一个评估平台,漏洞扫描器,常为主要评估工具原因之一。
我得到了在金融和技术部门的要求我帮他们做同样的测试,并发现了一些问题,以提高该平台用于这一目的。我也收到源代码贡献来自多个项目和个人,以及来自志愿者,反馈和大量的灵感支持。
我什至开始接听电话,并在多个场合,从“天使”,有关全球各地的企业和投资者,也想知道是否投资于漏洞检测计划和产品。与所有的支持,贡献,并收集在本研究历年的数据,相信不久的课题,仍然存在模糊不清终于确定 –
一个简单的过程,使评估每个产品中自定义的投资回报率:
投资回报率(ROI),从每类产品虽然是绝对不会到那一步,没有在这篇文章中,无论如何,每个出版,有少缺件,并同时准备本出版物收集的数据关闭的差距显著的部分。
评估范围包括12的工具不同方面(或16,如果你认为非竞争的图表),包括他们没有在过去的评估两个新的攻击向量,而这一次,他们都被分配了建议优先重点读者可以使用用于评估。
这项研究还成功地终于突破了传统的60级上限(最好比喻一个游戏玩家能想出在早上5点),并添加其他三款产品的评估,一共有63种不同的Web应用漏洞扫描器,包括一些从未评估在过去,并与潜在增加更多,在不久的将来。
这些措施包括共14 商业产品 和SaaS服务,以及49个免费和/或开源 项目。继传统,研究的重点通常是用术语“Web应用程序漏洞扫描器”相关的主要模块上,而这一次,它是符合我们的利益正确地定义这个模块,以及它与其他模块之间的差异可以被关联到相同的标题。
尽管术语“Web应用程序扫描程序”,多年来意味着不同的事情,我相信,如果将它的各种功能组合成模块,可以帮助理解本研究的重点,以及适当的分类和评估的各个模块在未来的贡献。
由于我没有发现任何显性的分类,我将使用一个描述性的一个用于本研究的目的。
黑盒Web应用程序扫描程序也可能包含以下模块:
(*)通用应用层漏洞检测模块:允许尝试找出通用的风险,在应用层中,没有关于应用程序及其结构的先验知识,虽然有可能克服前进的道路上的障碍要素的集合这个模块是主重点这项研究的。
(*)已知的 应用程序级/ Web服务器漏洞检测模块:一般归类为一个CGI扫描器(有点老同学对我的口味),或Web服务器扫描程序,但往往使用相同的分类为上述模块-收集功能属于这一类试图找出已知(和/或出版)在现成的产品漏洞。该模块是不包括在本研究
附加模块可以包括“通用漏洞利用模块”,“已知的漏洞利用模块”,一个“网站感染”检测模块,和其他人。这些也都是不包括在本研究中,虽然许多测试项目/产品含有一对夫妇的类型,他们也经常在不同的产品中实现。
所以,现在做了澄清和分类,一如既往,最后一个提示:
很多聚集在本研究中的信息无法通过图形,所以如果你正在寻求的更显著的内容,你必须在挖过去的图表和图形。如果你正在读3图和已经可以宣告一个胜利者,你就错过沿途的一些好东西。
请尝试在主菜单中的章节,旁边有所有花哨的话……他们通常会做的伎俩。
更新:
在评估 Qualys公司 极有可能是一种优化机制 影响 的 扫描结果 的 自检测试案例 (相比WAVSEP 2012结果)。虽然其他厂商禁用类似的机制,解决了这个问题,的情况下,在Qualys公司的情况下,这种优化机制,无法通过配置接口禁用。目前,我们正在试图找到解决问题的方法。
2。测试Web应用程序的扫描仪列表
以下商用扫描仪被覆盖 在基准:
| WVS的Acunetix V9.0构建20140113 (的Acunetix) | NTOSpider V6.0建立778分之773(NT目标) | Netsparker v3.1.7.0(Netsparker有限 公司,PKA Mavituna安全) |
| IBM AppScan的 v9.0.0.999&v8.8.0.0打造466 (IBM) | WebInspect可以 v10.1.177.0SecureBase 00年4月11日(HP) | Syhunt动态 v5.0.0.7 RC2(Syhunt) |
| 打嗝套件 v1.5.20(Portswigger) | N-潜行企业版的X,打造10.13.11.31(N-潜行者) | WebCruiser V2.7.0 EE (剑锋安全) |
下面的SAAS服务已评估的基准:
| Qualys公司 WAS – 2014年1月期间(Qualys公司) | ScanToSecure – 2014年1月期间(Netsparker有限 公司) |
在以前的以下结果商业 扫描器都包含在基准,因为他们并没有因为以前的基准(网站)更新日期:
| ParosPro v1.9.12(Milescan ) | JSky V3.5.1-905(NOSEC) | 菊 V1.2 (RyscCorp) |
以下商用扫描仪将尽快更新:
Nessus的(能成立网络安全) -网络扫描功能
在最新版本下的自由/开放源码 是扫描仪重新测试:
| Zed的攻击代理(ZAP)v2.2.2 (OWASP) | IronWASP v0.9.7.4(Lavakumar Kuppan) | W3AF V1.6修订5460aa0377(该W3AF队) |
| arachni v 0.4.6(Tasos拉斯科斯) | Skipfish v2.10b(谷歌) | WATOBO v 0.9.19(安德烈亚斯·施密特) |
| VEGA V1.1测试版建设108(子图) | 马鹿 V2.3.0(尼古拉斯·Surribas) | XSSer V1.6-1(OWASP) |
| Netsparker社区版 v 3.1.6.0(Netsparker有限 公司) | N-潜行者2012 免费版 v10.13.11.31(N-潜行者) | Syhunt迷你v4.4.3.0(Syhunt)(PKA Sandcat迷你) |
以下的新内容开放源码的扫描仪进行了测试,在基准:
| Andiparos 1.0.6版本 (罗盘安全) |
帕罗代理 v3.2.13(Milescan ) |
在以前的以下结果免费 扫描仪被列入中的标杆,因为他们并没有因为以前的基准(网站)更新日期:
| 免费的Acunetix版 V8.0-20120509(的Acunetix) | N-潜行者2009免费版v7.0.0.223(N-潜行者) | WebSecurify V0.9最新的免费版(GNUCITIZEN) |
| Sandcat免费版v4.0.0.1(Syhunt) | WebCruiser FE V2.4.2 | JSKY免费版 V1.0.0 |
| Scrawler V1.0(HP) | Safe3WVS V10.1 FE(Safe3网络中心) |
以下的结果开源扫描仪都包括在内,但不 重新验证:
| 的SqlMap V1.0 -7月5-2012(Github上) -已经在其支持的功能实现融会贯通 |
| DSSS(该死简单SQLI扫描仪) v0.1h – 0.2H存在,将在未来的测试 |
| aidSQL 02062011 -发布于2013-05-27更新版本,将在未来进行测试 |
结果进行了比较,那些无人维护 ,在过去测试扫描仪:
| ProxyStrike V2.2 | 格伦德尔扫描 V1.0 | PowerFuzzer V1.0 |
| 俄狄浦斯 V1.8.1(v1.8.3是围绕地方) | Xcobra V0.2 | XSSploit V0.5 |
| UWSS(尤伯杯网络安全扫描器) v0.0.2 | 抓取器 V0.1 | 的WebScarab v20100820 |
| 迷你MySqlat0r V0.5 | WSTool v0.14001 | crawlfish V0.92 |
| Gamja V1.6 | ISCAN V0.1 | LOVERBOY V1.0 |
| openAcunetix V0.1 | ScreamingCSS V1.02 | Secubat V0.5 |
| SQID(SQL注入挖掘机)V0.3 | SQLiX V1.0 | VulnDetector v0.0.2 |
| 网络注入扫描器(WIS)V0.4 | XSSS v0.40 | PRIAMOS V1.0 |
对于那个被商业和开源工具的完整列表不能在这个基准测试,请参考附录。
3。基准概述与评估标准
基准专注于测试,能够为商业和开源工具检测(而不一定是攻击)的安全漏洞就广泛的URL,因此,每个测试工具是需要支持以下功能:
(*)来检测反射跨站脚本和/或SQL注入和/或路径遍历/本地文件包含/远程文件包含漏洞的能力。
(*)来扫描多个URL一次的能力(使用一个爬虫/蜘蛛功能,URL /日志文件解析功能或内置的代理服务器)。
(*)来控制和限制扫描到内部或外部主机(域名/ IP)的能力。
所有工具的测试过程包括以下几个阶段:
功能文档
每个扫描仪的功能被记录和比较,根据文档,配置,插件和从供应商处收到的信息。 该功能,然后分成组,分别用来组成不同层次的图表。
精度评价
该扫描仪支持某一类测试的事实,并没有说任何东西有多好它能够检测到所支持的问题。准确度评估的目的是看每个扫描仪是检测各种漏洞的效果如何,以及查看检测逻辑否“落户”的简单场景,或涵盖的集合共同的和先进的场景。
该扫描仪都对最新版本的测试WAVSEP(V1.5),一个基准平台,旨在评估Web应用程序扫描仪,这是沿着这个基准的出版发布的检测精度。
WAVSEP的试验例的目的是提供一种规模为理解该检测障碍的每个扫描工具可以绕过,并且其 共同弱点的变化可以由每个工具来检测。
WAVSEP 1.5增加到包括测试用例的ZAP-WAVE,代码贡献来自各个志愿者和集合250 + 新测试用例两个新的风险:未经验证的重定向和过时/隐藏文件。
各种电脑灯进行了测试对以下测试用例(GET / POST):
60 测试用例又容易通过未经验证的重定向钓鱼。
184 测试案例,包括隐藏的,过时的文件和备份文件。
816 测试用例容易受到路径遍历攻击。
108 测试用例容易受到攻击(XSS通过)远程文件包含攻击。
66 测试用例容易受到反射跨站脚本攻击。
80 测试用例包含错误披露SQL注入风险。
46 测试用例包含盲SQL注入风险。
10 测试用例容易受到基于时间的SQL注入攻击。
各种扫描仪还测试针对各种假阳性的情况:
9 不同类别的假阳性未经验证的重定向漏洞。
3 不同类别的假阳性过时/隐藏/备份文件。
8 不同类别的假阳性路径遍历/ LFI 漏洞。
6 不同类别的假阳性远程文件包含漏洞。
7 不同类别的假阳性反映的XSS 漏洞。
10 不同类别的假阳性SQL注入漏洞。
总体而言,集合1413脆弱的测试用例为6不同的攻击向量,每个测试用例模拟一个不同的,独特的,可能存在的应用场景。
虽然测试平台包括各种实验测试案例相似,不同的弱点(DOM-XSS,信息披露问题等),这些都是不包括在基准的范围,其结果并没有影响到最终成绩。
攻击覆盖度评估
为了评估扫描器攻击面覆盖,评估包括测试,测量仪的自动抓取机制(输入向量提取)的效率,并旨在评估其对各种技术和处理不同的扫描壁垒的能力支持的功能比较。
本节中的基准也包括在WIVET测试(网络输入向量提取诱惑V3-rev148),在这种扫描器是针对一个专门的应用程序,可以评估在输入矢量提取的纵横其抓取机构效率执行。在相关的章节中提供这一评估的具体细节。
结果验证
为了保证结果的一致性,每次曝光的子类的目录使用不同的配置(适用于广大被单独地扫描多次,大多数测试的产品),通常使用一个单独的线程,并使用一个扫描策略仅包括相关的插件。
为了确保每个扫描器的检测特性是真正有效的,大多数的扫描仪进行了测试针对一个附加的基准,这是容易产生相同的脆弱测试用例作为应用WAVSEP平台,但有不同的设计,略有不同的行为和不同的切入点格式,以确认没有签名中使用,而且任何改善是由于扫描仪的攻击树的提高。
此外,为了验证所有WIVET 结果是可靠的,广袤的大多数工具进行了测试对WIVET的一份未公开的联机版本,包括额外的增强功能,防止预适应平台的网址(http://wivet.webscantest。 COM / )。
最后,由于用的几个志愿者的帮助下进行的试验,一些结果是由一个以上的人,并在多个环境中验证。
使得结果有助于供应商
为了帮助厂商了解哪些情况下被“遗漏”了他们的产品,确定测试用例的列表被详细记录,为每个类的漏洞,以及被错过了测试用例的列表可以从该列表中扣除。由于WAVSEP包含对每一个测试案例的详细文档,这些信息可以帮助供应商找出自己的弱点,包括著名的场景。
请参阅扫描描述部分(单击版本链接)每个扫描器的http://www.sectoolmarket.com 找出哪些测试用例是由每个扫描仪识别。
公共测试与暗纹测试
为了使测试尽可能公平,同时还使各个厂商出现改善,基准分为测试,被公开宣布,和测试是晦涩的所有厂商:
(*)公开宣布的测试:不同的特性比较,WIVET评估和检测精度评估SQL注入,反射跨站脚本,路径遍历/ LFI和攻击(XSS通过)远程文件包含了众所周知的厂商,并已经公布的WAVSEP V1.2(这是在过去的一年半的时间可上网)的一部分。
(*)测试的是不起眼的所有厂商 ,直至公布的时刻:在检测精度评估未经验证的重定向和过时/隐藏文件检测实现为256 + 新的测试用例WAVSEP 1.5(这只是一起发布的新版本这个基准)。
主要测试类别的结果列于三个图形(商业/ SAAS图,自由和开放源码的图形,统一的图形),以及每个测试的详细资料载于基准展示平台以专门章节包含http:// www.sectoolmarket.com。
4。管窥到基准的结果
此演示文稿结果在这个基准测试中,沿着专用的结果演示网站(http://www.sectoolmarket.com/)等一系列配套细则和方法,都是为了帮助读者做出决定 -选择正确的产品/ s或工具/ s的手头的任务,时间或预算边界内。
最显著成果的摘要可以看出,在以下链接,并根据产品许可证(商业/开源)过滤:
商用扫描仪的价格与功能比较
商业,自由和开放源码产品的统一名单的价格与功能比较
http://sectoolmarket.com/price-and-feature-comparison-of-web-application-scanners-unified-list.html
有些部分可能不太清楚的一些读者在这个阶段,特别是因为其中许多包含新的结论,新成果,这就是为什么我建议无论老将和新人阅读文章,其余前分析这总结。
5。惊喜惊喜
虽然在一般的基础 – 产品绝大多数提高他们的结果从基准到基准,而这种情况是不一样的,这个标杆也有相互矛盾的结果高于平均水平的量。
更重要的是得到了很高的成绩在以前的基准类别的几个工具,得到了较小的结果在这一个-在同一个类别,虽然没有在测试环境发生了变化。
此外,一些新的试验,遇到了…令人惊讶的困难,通过这些工具在同行业中绝大多数,导致我相信,许多产品在同行业中已发展到这可能是一项挑战在未来几年保持一个尺寸。
总的问题是关系到产品测试和维护 – 事实上,软件缺陷可能导致的各种关键功能不正常的很长一段时间,没有人知道它们的存在。
在缓和进程厂商的成本(或缺乏消费者!)可能会非常高,而且这样的事实,这是非常困难的,为消费者增加识别这些问题,尤其是在定期的基础上,可以有重大影响。
这是很难避免它……所有你需要做的就是看看几个“新”的图表,甚至在一些“传统”WAVSEP图表注意到这个问题,我将在细节中的一些讨论两节。
这种现象是一些东西,我可能会分析未来的出版,应该是一个理由去关注,特别是因为除非一定的预防措施将被采取,或许将成为随着时间的推移更加严重。
6。如何阅读和使用的基准测试结果
实际的读者,一个谁愿意做的这项研究,他的优势所提供的资料的使用,可用于解释结果的下列准则,以及下面的步骤来获得实际的决定:
(*)虽然它的诱惑,只在工具顶一下,重要的是要记住,微不足道 的结果的差异是- 微不足道的 -并且应该作相应处理。基准永远不能涵盖每一种情况下,和几个百分比并不总是做出更好的产品类别中的(虽然很多百分数大概做)。因此,我建议,用于评估一个工具来找出该工具是否有一个读者不错的成绩,而不是下降到百分之100%的陷阱中进行评估,并在一般情况下,。话虽这么说,一个完美的分数肯定是不坏的,所以不要把它周围的其他方法要么。
(*)当试图找出你应该使用哪种工具,请尝试以下简单的方法:
1,输入向量和扫描屏障技术支持
弄清楚如果输入交付方法(试验I)用于您所使用的应用程序或应用程序是支持由正在评估扫描器。做同样的各种安全机制,技术和扫描的障碍是在应用程序(使用文字X)。扫描仪将不能工作,或将提供什么价值,如果它不支持这些。
[ 注: pentesters或许应该去支持那些足够的工具,因为他们可能遇到的技术壁垒有所不同,而其他组织可以只使用支持工具,他们需要什么]
2,爬行和输入向量的提取
如果您使用的扫描仪主要是在一个点和拍摄场景,而喜欢尽可能多的自动化成为可能,高WIVET得分将是你应该遵循的第二个最重要的特点。
[ 注:在大多数情况下,最pentesters可以用一个合理的分数处理为好,虽然高某有一定的帮助,同时组织和QA / DEV部门确实需要有高的分数这一类的工具-尤其是在2014年]
3,漏洞检测功能和精度
很难说什么是更重要的-所以尽量保持这些平衡。更准确和更丰富的功能-更好。请记住,1%,5%甚至10%的准确度差别是不是一定显著,虽然较大的差异可能是。
4。价格
购买不能运行一个产品没有任何意义了不是自动的够你(如果你需要的话),是并不准确,(只会导致额外的为你工作),或者没有足够的功能辩解的价格,但一旦所有的出路,价格是你的下一个标准。请记住,你通常可以协商,而且不时,价格的变化。
5,其余全
某些功能可能是特殊的,比如特定于平台的功能,因此文档的功能,互补的功能,可以使您的生活更轻松,配置WAF,为您生成管理报告或让你免费的火星之旅。
其中一些功能甚至可能付小费的其他功能袤的规模,但是从长远来看,尽量坚持这个顺序。
另外请注意,这些都是一般准则,而如果这种选择是显著,你可能要与专家进行磋商,以帮助您评估哪些工具满足您的需要。
7。测试I – 多功能性 – 输入向量支持
正如我在以前的文章中提到的2012,调查DAST领域在过去的五年之后,我认为扫描仪的支持,对于测试应用程序的输入传送方法 是最显著的方面中的任何扫描仪的选择过程。
推理:在输入传递方法(又称输入向量)是一种用于在HTML /闪光灯/ APPLET / Silverlight应用程序的方法,提供 用户发起的输入从客户端向服务器。
这些“格式”包括常见的格式,如:
(*)查询字符串参数 (网址是什么?参数1 =值1&参数2 =值2)
(*)HTTP正文参数(参数1 =值1&参数2 =值2)
与“现代”的格式,如:
(*)的JSON数组({“参数1”:“值1”,“参数2”:“值2”})
(*)的XML元素和属性(元素的值)
这些方法也包括二进制文件传递方法技术的具体对象,如AMF,Java的序列化对象和WCF,以及许多其他输入交付方法。
由于大部分 的攻击依赖于恶意输入被传递通过输入参数给应用程序,一台扫描仪,是不是能够提供这些值大多数应用服务器入口点的将不会是一个不错的选择。
自动化工具无法检测的漏洞在给定的参数,如果它不能扫描的协议或模仿提供了输入的应用程序的方法。
事实上,缺乏对应用程序所使用的主要输入向量的支持可以使扫描仪几乎无用为特定的应用程序 (不降级多么有用它可能是其他类型的应用程序)。
| 而具体的开发技术坚持组织只需要以验证他们所使用的扫描仪支持 使用他们的应用程序的输入传送方法,因为在二千零十四分之二千零十三有不同的输入交付方式大量收集,多功能性 成为一个重要的pentesters问题,并在一定程度上对组织迅速发展在不同的技术应用。虽然在本节中的图表的位置并不 一定代表的最重要的得分,它是最重要的油水用于扫描仪,以符合扫描特定的技术,当用。 |
因此,该基准的第一次评估的标准是数字的输入矢量的每个工具可以扫描(不只是解析),这是在扫描仪的通用性得分的主要成分。
重要注意事项
尽管它可能看起来是合乎逻辑的,它支持的输入法交付一台扫描仪会这样做一致,一些扫描仪输入向量支持可能会限制对某些漏洞检测插件,而其余可只对基本输入交付方式支持。
我才知道这个情况后,深入的研究,不幸的是,此刻也没有肯定的方式来验证这实际上支持的每个输入向量扫描仪的探测能力,至少不会大规模,以及对于绝大多数扫描仪。
由于WAVSEP测试用例与任何查询字符串或HTTP车身参数实现的,只有这些载体的支持,实际上验证,本节其余的信息从一个深入的研究,涵盖了供应商宣布结果,源代码派生(当可能的话)和功能的文档。
WAVSEP的未来版本可能会包括测试用例来验证扫描仪对不同输入向量的支持。
| 在查看了代表不同的漏洞扫描器的多功能性的图表,它可能是一个好时机,何况有趣的功能,这是该分类下的两款产品。此公告并不意味着笔者表态至于哪个产品是“最好的”(一个结论,谁看了我以前的基准很清楚,不要指望),只是这些产品采取的方法进行分类的攻击,管理扫描范围 和呈现的信息提供给用户可以在许多情况下是非常有利的。我指的是产品NTOSpider和的Acunetix,并在一定程度上IronWASP,ZAP和打嗝(和产品具有类似的功能,万一我忘了的话),每次取一个有趣的方法来输入向量的支持和扫描范围管理:
(*)NTOSpider使管理的输入向量应为每个攻击测试的用户,因此呈现其载体是支持的每次攻击,信息是很难获得的文件: (*)的Acunetix提出了哪些攻击每个目录,模式,文件被执行,等: 其他工具包含所提供的控制权有趣的功能(没有攻击的每矢量信息)的输入向量将被扫描: IronWASP 输入交付方法的范围选择在扫描向导: OWASP ZAP输入交付方法的范围选择,在配置窗口: 类似的功能进行了验证打嗝套件Pro,并可能存在于其他的产品也是如此。 |
输入输送扫描器支持的多个载体中,更通用的是在不同的扫描技术和应用(假设它可以处理有关扫描的障碍,支持必要的功能,例如认证,或者,包含的功能可用于工作围绕特定限制)。
对各种输入交付方式的扫描仪支持的详细比较详细的记载在sectoolmarket的以下部分:http://www.sectoolmarket.com/input-vector-support-unified-list.html
下面的图表显示了每个扫描仪在扫描不同的输入传递载体如何多才多艺(虽然不完全全面的 – 不同技术):
输入向量的数量支持 – 商业工具和SAAS
输入向量的数量支持 – 免费及开源工具
输入向量的数量支持 – 统一列表
开源扫描仪与商用扫描仪在2014年的通用性
在2012年进行测试(除IronWASP的)开源工具的绝大多数并不支持向量除了基本的GET / POST /头/ Cookie的载体,使得使用起来反对那些依赖JSON / XML的“现代”应用程序的任务在/ etc不切实际。
然而,由于图证明,某些开源厂商投入在支持额外的输入交付方式在他们的漏洞扫描功能的努力,因此这些扫描仪可以有效对抗与“现代”的输入向量和技术应用中使用。
虽然这种情况很少见,而且绝不代表,细心的检查员甚至会识别 所输入的交付方式只支持特定的开源项目(例如,快速切换对GWT的支持),但对于很多也是一样的其他方式由商业供应商的支持向量。
8。测试二 – WIVET – 抓取覆盖范围
第二个评估标准侧重于评估爬行覆盖功能,其中包括各种发现使用的方法增加攻击面测试应用:找到更多的资源和投入交付方式攻击。
虽然扫描器可以增加攻击面在许多方面,从检测的隐藏文件以曝光装置专用接口(手机,平板等),这种评估集中于评估自动爬行功能和输入向量 提取覆盖率(如相对向输入矢量扫描的各种扫描仪的前面的部分)的测量,并支持主要指使用扫描仪的WIVET得分。
扫描仪的这个方面是非常重要的点和射击扫描,用户在其中没有“直通车”扫描仪识别应用程序结构,URL和请求扫描,要么是由于时间/方法的限制,或者当用户不知道如何正确使用手动抓取出扫描仪的安全专家。
| 虽然能够负担得起的“训练”扫描仪用户识别应用程序的URL和输入源(通过使用它作为代理,例如)不一定需要增强爬行覆盖,组织 和个人偏好或需要使用网络在应用程序中的扫描仪自动方式(点和射击)应该考虑爬行覆盖/输入向量的提取成为最为重要,仅次于扫描仪的测试所需的输入传递载体的支持。 |
正如前面提到的,为了在扫描仪来评估这些方面,我用称为项目WIVET(网络输入向量提取诱惑);该WIVET项目是被写了一个标杆项目为Bedirhan Urgun,而根据GPL2许可下发布。
该项目是作为一个Web应用程序,旨在“统计分析网站链接提取器”,并测量每个扫描仪扫描WIVET网站提取输入向量的数量。
直白地说,这个项目根本措施多么出色的扫描仪能够抓取的应用程序,以及如何能找到它的输入向量,通过提出的包含链接,参数和输入交付方式挑战的集合,爬行的过程中应寻找并提取。
为了WIVET工作,扫描仪必须抓取应用程序,同时持续使用在其爬行请求相同的会话标识符,并同时避免100.php注销页面(它初始化会话,因此结果)。
结果然后可以通过访问应用程序的索引页,同时利用该扫描期间使用的会话标识符来查看。
在测试中,我使用了多种设计,以“协助”扫描仪与失踪的代理/饼干定制功能来扫描WIVET,通常通过扫描一个代理,转发的通信,同时增加一致的会话标识符来WIVET和限制访问登出页面的解决方法。
与对WIVET每个扫描仪所使用的扫描配置被详细记录在扫描仪“扫描日志”,以及扫描仪的WIVET得分的比较,提出在sectoolmarket的以下部分:
http://sectoolmarket.com/wivet-score-unified-list.html
该WIVET得分的Web应用程序扫描仪 – 商业工具和SAAS
由于技术上的困难和时间限制的WIVET结果ScanToSecure没有尚未包括在内,它可被假定为具有相同的得分Netsparker的,因为这是在发动机的核心。
该WIVET得分的Web应用程序扫描仪 – 免费开源工具
该WIVET得分的Web应用程序扫描仪 – 统一列表
虽然扫描成功率比前几年要高得多,还有些扫描仪都是无法扫描这个平台,尽管我所有的努力。这些项目的得分将尽快为他们提高他们足够的扫描WIVET爬行机制进行更新。
这是非常重要的提醒,扫描仪与打嗝日志分析功能(例如的SqlMap和IronWASP)能有效地与打嗝的WIVET得分分配的读者,也即扫描仪与内部代理功能(例如ZAP,打嗝等)可与其他扫描仪(如Netsparker CE)的爬行机制使用。
因此,任何支持这些功能的任何扫描仪可以人为地“提高”,并分配到测试仪的占有任何其他扫描仪的WIVET得分。
9。简介精度评估
以下各节介绍了用于进行检测精度评估结果* 未经验证的重定向 *,* 老,备份和引用文件*,* 路径遍历/ LFI *,* (通过XSS),远程文件包含 *,* 反射XSS *和* SQL注入 *,在Web应用程序扫描仪六个最常用支持的功能。
因为两个这些评估是* 新 *这个年度基准(备份文件和未经验证的重定向精度评估-这并没有透露给各个厂商在此之前的基准出版),另外两个分别在2012年的新标杆(本路径遍历/ LFI和远程文件包含准确的评估),以及两个存在于从一天(SQL注入的基准,并反映XSS) -有结果,可以帮助评估整体扫描仪的性能的一个有趣的组合。
当然-一个特定的曝光的检测精度可能不反映自己的扫描仪的整体状况,但细心的读者可以回去和分析 以前的基准,以识别模式,和往常一样,这些结果作为如何的一个关键指标良好的扫描仪是检测特定漏洞的实例。
各种评估进行了对各种测试用例WAVSEP V1.5,它模拟不同常见的测试用例场景的共性技术。
推理:扫描仪是不够准确的将不能够识别许多风险,并且可能不容易的切入点脆弱分类。这些测试的目的是评估如何善于检测它声称支持,在该漏洞是每个工具支持的输入向量,它位于一个已知的切入点,没有任何限制,可以防止工具无法正常工作。
还下进行这些评估的精度最优 条件(或至少是最佳的,因为我们可以创建),因为目的是看如何做好检测逻辑的功能,没有从可能影响它在应用中的各种障碍干扰。
这种最佳条件包括扫描相对小团体的URL,使用有限的线程数量,定义(在某些情况下)最佳配置项,依此类推。
因此,重现这些结果,有必要按照包含在各个扫描日志中列出的精确指示sectoolmarket。
10。测试三 – 未经验证的重定向检测
第三个评价标准是检测精度 未经验证的重定向,一个共同的曝光也是普遍采用的功能,在Web应用程序扫描仪,最重要的是,一个新的 测试中WAVSEP,卖方并不知悉前,这篇文章的出版。
它也包括在OWASP TOP 10 2010 和OWASP TOP 10 2013,代表了不断的努力,使WAVSEP尽可能遵循的各种OWASP TOP 10名单。
| 这个分数表是从其他地方不同,因为不同的检测准确性图表的其他部分,它计算只是基于查询字符串/ GET测试用例的成绩,并没有考虑到的HTTP POST测试案例。究其原因,包括在分数计算只得到测试用例是关系到一个未经验证的重定向攻击的属性:它本质上是一个网络钓鱼攻击提升依赖于浏览器重定向到在输入发送的用户控制的地址,网址重定向功能。这些袭击最终将用户重定向到攻击者控制的网站,而误导甚至谨慎的用户验证的域地址访问链接之前。
例如: 原始地址 – http://domain:port/app/login.jsp?nextPage=internal.jsp 滥用网址 – http://domain:port/app/login.jsp?nextPage=http://hacker-domain:port/fake-login.jsp 案例可以作出声明,因为在POST参数提交恶意重定向值要求用户第一次访问一个HTML表单中的攻击者控制的网站,除了有一个在执行这种攻击根本没有意义的,因为用户已经是“信任”的攻击者的网站。 其实,这种说法是很好根深蒂固在许多作家的工具,它通常不提交的POST参数重定向任何有效载荷的看法。 几个参数可以针对该看法: (*)检测持久性未经验证的重定向 攻击(如持久性XSS攻击),其中有效载荷是“注入”到数据库中,并影响其他用户,很可能证明发送重定向的有效载荷在POST参数。 (*)检测会话主办未经验证的重定向 攻击和网页中,实际的网站中嵌入外部提供的URL的形式,稍后将使用POST可以进行辩解POST测试以及提交。 不管参数是否是真还是假,由于缺乏支持POST未验证重定向测试,大部分测试的产品,我决定不包括在此基准自检测试案例,尽管它们已经包含在事实WAVSEP,尽管各种场景中,测试POST参数与未经验证的重定向有效载荷可能会导致有效的安全漏洞(持久重定向,会话重定向,转载重定向形式等)。 POST的测试用例可能但被包括在未来基准,以某种方式或其他,以及完整的结果已经包含在sectoolmarket相关扫描日志。 |
为了评估不同的未经验证的重定向实例的检测精度,我总共使用30〜60的测试的情况下(302重定向,甚至为JS重定向)。我也用了一堆假阳性试验的情况下,怎么看宽容的检测过程。
扫描仪的未经验证的重定向检测精度的比较详细的记载在sectoolmarket的以下部分:
http://sectoolmarket.com/unvalidated-redirect-detection-accuracy-unified-list.html
结果图表词汇表
请注意,绿色 条代表弱势测试用例检测精度,而红色 条代表假阳性类的工具(这可能会导致更多的情况下又是什么了吧居然呈现,相对于检测精度巴)检测。
商业/ SAAS扫描仪的未经验证的重定向检测精度
开源/免费扫描仪的未经验证的重定向检测精度
扫描仪的未经验证的重定向检测精度 – 统一列表
11。测试四 – 备份/隐藏文件检测
第四次评估标准是检测精度老,备份和引用文件,一个很常见的风险,可能导致源代码和配置盗窃,这也是Web应用程序扫描仪普遍采用的功能,并再次,一个新的 测试 在WAVSEP该供应商并不知道在此之前文章的出版。
这也是测试中,结果是最令人惊讶的。
要清楚,这个测试评估扫描器的功能来定位备份文件与非可执行扩展名,压缩 文件和目录,开发者可能已经忘记了,版本序列 文件或复制文件和是各种开发测试残余的目录,和额外的危险,可能会导致源代码配置披露。
对于那些你怀疑这个向量的重要性,这是一个风险,作为一个笔测试,我个人滥用下载整个源代码的银行,电子商务网站和信用卡公司,得到的连接字符串和硬编码凭据从过时的源代码片段和配置文件,以及位于众多隐藏的入口点是又容易暴露该应用程序的其余部分是不容易。
我想说的是,虽然本次曝光的某些情况下可能会产生微不足道的成绩,一些严重的实例可能意味着“ 游戏结束 “的应用程序,并公开每一个服务器端的漏洞或隐藏凭证给攻击者。
| 早在旧时代,我用的工具和列表,以确定此类问题的集合;我大量使用的SensePost的的Wikto 与文件及扩展名的定制名单;我用的W3AF最早发布的版本的备份/隐藏文件检测功能,以下载数家银行的源代码,并且不时透过更出现的神话帕罗代理过时的文件检测功能误报。然而,自那时以来,许多开源和商业工具掌握了这些攻击,并试图使检测工作更加容易。
但作为结果 显然 表明,一些不好的事,一路走来,这不一定与此相关的特定弱点,尽可能多地关系到一个重大问题是影响了整个自动化漏洞检测行业。 实施不足 TDD 如果有任何明显的结论,读者可以从这个基准测试得出结论,这可能是它: 该是一个严重的问题(因此使用不足)的实现TDD中的许多Web应用程序漏洞扫描器的发展: Ŧ EST ð 四分五裂 Ð 才有发展是一个发展的过程中,软件开发人员在编写单元测试投资力度的代码模块,写模块本身甚至常常前,并在该产品的构建过程中使用这些测试来验证码模块正常运行,而且不会有任何意外的行为。 TDD通常是非常昂贵的实现,但在我看来,支付从长远来看 – 在许多方面。 现在,不要误会我的意思,我是一定的,几乎所有的厂商使用的TDD在一定程度上,然而,经历了什么我已经在这个基准测试之后,我也有一定的可能不足(至少是部分产品)。 而且说实话,我觉得很辛苦,以责备的供应商。 请允许我阐述: 有没有在这个产品类别很多的竞争,以及新的功能往往赶到市场,尽快。它也需要一个重大的努力,编写单元测试,包括网络通信和扫描,并检讨结果,即使是一个单一的漏洞检测插件。 虽然它是有道理的,同样的结果可以实现使用传统的QA流程,这很可能是真实的中小型规模的项目,只需要看看插件的疯狂数字和功能的产品,如Qualys公司,Appscan能够, WebInspect可以和W3AF,了解使所有的测试,以人类是徒劳的。 试想一下,那将是多么费力采取手动测试200通用检测插件正常运行…实现单元测试所有这些模块是一个不小的投资也是如此。 和什么有关50000 的基于签名的特定产品的漏洞?它需要多长时间手动测试(或开发单元测试来验证),这些特性工作? 在测试过程中,我看到了插件的几种工具这实际上是命名 后的各种扩展 的过时的文件,我是想检测WAVSEP,仍然,扫描与他们中的一些或全部的平台上没有取得结果许多工具。 我的假设是,同样的问题也负责了该工具的结果100%在以前的基准,并得到了不同的结果,在此批量的测试中,即使测试框架(WAVSEP / WIVET)不包括在任何更改测试用例扫描。 我的假设: 各种插件和功能都基于一个扫描引擎,以及发动机(或插件)所做的更改可能会导致他们中的一些故障。 由于没有一个单元测试(或其他前/后生成的测试方法)对于那些插件,新版本而这些插件都不能正常工作,被释放甚至几年,并没有任何人知道这件事。 没有那么吓人考虑时,让我们说 – 小规模项目, 但非常 可怕,当你考虑一个产品的更新,导致许多插件在扫描仪故障与50000 插件,这是释放后的组织进行了测试 成功,并用它多年,而厂商的官方建议是安装更新。 供应商可能永远不会知道,和客户/用户只能发现问题的漏洞,该产品是假设,以确定将被利用后。 客户认为是目前 所知的一个问题,即供应商可能永远不会,那可以实体滥用这个问题 是一个可怕的组合…没有恶意目的。 |
为了评估不同的旧/备份/隐藏文件实例的检测精度,我一共使用184的测试案例(其中许多是模拟在Windows XP / Windows 7的开发者站,以及创建的文件中常见的Linux版本,如的Ubuntu,Debian和Fedora的)。我也用的假阳性行为三个主要群体-每个代表现实生活场景,漏洞扫描器可以体验。
扫描仪的时候,备份和未被引用的文件检测精度的比较详细的记载在sectoolmarket的以下部分:
http://sectoolmarket.com/old-backup-and-unreferenced-files-detection-accuracy-unified-list.html
注意:正如前面提到的,我看到了各种功能在几个被认为是确定更多结果测试工具,但由于某种原因没有发挥作用。我目前的假设(而这一切那就是-我的假设)是一种原因是有关的错误在发动机或这些工具模块。
幸运的是(或缺乏)将有它,同样的问题似乎仍然存在许多厂商的测试,具体的类别。
免责声明:
OWASP ZAP在过时的文件检测试验结果进行了使用外部ZAP扩展名为取得良好-老文件(GOF -包括在ZAP内置市场)。
该扩展的作者是矿用名同事米哈尔戈尔茨坦,最初的灵感(先前的扩展的作者)在各个模块W3AF。
她不 知道 的标杆,或者我被她的评估项目的事实,当我建立的测试平台,我用从输入工具和资源的集合,以建立基准测试床,包括GoF/W3AF。
那些你认为有可能影响测试过程中可能会随时忽略该工具的结果。
结果图表词汇表
请注意,绿色 条代表弱势测试用例检测精度,而红色 条代表假阳性类的工具(这可能会导致更多的情况下又是什么了吧居然呈现,相对于检测精度巴)检测。
商业/ SAAS扫描仪旧/备份/隐藏文件检测精度
旧/备份/隐藏文件检测的开源/免费扫描仪精度
扫描仪的旧/备份/隐藏文件检测精度 – 统一列表
12。测试V – 路径遍历/ LFI检测
第五个评估标准是相同的前一个基准-的检测精度路径遍历(又名目录遍历),这是在WAVSEP v1.2的实施,并在测试评估功能2012基准的第一次。
这也是第三个最普遍采用的攻击方法在Web应用程序扫描程序,并在其自己的权利显著的攻击向量。
许多扫描仪有困难的时候,2012年定位的各种遍历测试案例,但是这一次,结果显示一个显著 改善,许多工具的结果,证明许多厂商投资的重大努力改善他们的产品。
| 路径遍历与本地文件包含 – 提醒正如我在过去的解释,之所以路径遍历被标记连同本地文件包含(LFI)很简单 – 很多扫描仪不使包容性和穿透之间的分化,而且,一些网上的漏洞的文档资源做。此外,从工具的绝大多数进行的测试得到的结果导致了同样的结论 – 的名义下LFI列出许多插件检测到的路径遍历测试案例。在实施路径遍历测试案例在2012年和消费几乎每一件有关文件,我可以找到关于这个问题,我决定把目前的路径,尽管一些急性分歧的一些文档源代码建议(虽然我没有实现的在WAVSEP基础设施为“真正的”包容性风险)。
问题的关键是不进入的讨论路径遍历,遍历目录和本地文件包含是否应该被归类为相同的漏洞,而仅仅是为了解释为什么尽管有差异,有些组织/分类方法对这些风险,他们被列在相同的名称。 评估是在执行WAVSEP v1.2的 被托管在Windows XP虚拟机实例,虽然有打算效仿那些具有低权限的操作系统用户帐户运行的服务器(使用servlet上下文文件访问方法)具体的测试用例很多的测试用例效仿那些具有管理用户帐户运行的Web服务器。 [注 – 除了wavsep安装,产生的结果与这个基准,一个文件content.ini中的名字必须被放置在tomcat服务器,其中的安装根目录是不是根目录的不同Web服务器。 这也是非常重要的在Windows上安装WAVSEP,并运行Tomcat服务器具有管理权限,为一些测试用例依赖于Windows的特定路径或需要访问目录的Web服务器范围] |
为了评估不同的路径遍历情况下的检测精度,我一共使用816路径遍历测试案例,和一堆假阳性试验案件。
扫描仪的路径遍历检测精度的比较详细的记载在sectoolmarket的以下部分:
http://sectoolmarket.com/path-traversal-local-file-inclusion-detection-accuracy-unified-list.html
注意:
期间的开发版本的测试W3AF (最新的稳定,我可以得到1.2这是在2012年进行测试,而目前的开发版本为1.6 +),我经历了几个错误,具体错误,阻止了扫描程序扫描提交HTML表单使用HTTP POST(或短,POST参数)。
其中的一个缺陷是相关的LFI /路径遍历检测插件,这引起了扫描崩溃时,它被使用,检测只有少数弱势测试用例之后。
我尝试了各种方法来克服这一缺陷人为地,但没有这样做,所以我没能取得W3AF最新版本的实际效果,因此,决定使用结果从以前的基准来表示它的得分。
该漏洞被报告给项目负责人,并希望,将其固定在未来。
我不得不尝试使用的各种LFI / RFI插件类似的问题Qualys的,不幸的是,无法克服这些困难,并得到一个实际得分的这个基准的公布(这就是为什么Qualys公司是从LFI / RFI图表缺席)。我目前不知道原因是一个错误,在产品或在我的测试过程中使用的配置。
结果图表词汇表
请注意, 绿色 条代表弱势测试用例检测精度,而 红色 条代表假阳性 类 的工具(这可能会导致更多的情况下又是什么了吧居然呈现,相对于检测精度巴)检测。
商业/ SAAS扫描仪的路径遍历/ LFI检测精度
的开源/免费的扫描路径遍历/ LFI检测精度
扫描仪的路径遍历/ LFI检测精度 – 统一列表
13。测试六 – (XSS通过)射频干扰检测
第六评估标准再次,相同的2012基准-的检测精度远程文件包含 (或者更准确地说,射频干扰,可能导致XSS或网络钓鱼的载体-目前,不一定在服务器代码中执行),评估套件在WAVSEP V1.2,这是在2012年的基准是第一次,测试与实施有趣的 结果 确实是。
提醒一下-虽然在2012年的基准测试的几款产品中确定的弱势测试用例正常,部分产品带有射频干扰检测功能,完全忽略它。
显然,2012年出版半后,这不再是厂商绝大多数的情况下,检测精度和攻击(XSS通过)RFI支持是显着改善在许多工具,而我们-用户-可以在获得的回报渗透测试。
为了评估不同的远程文件包含风险的检测精度,我一共使用108(XSS通过)远程文件包含测试用例,并一如既往,一堆代表常见的场景假阳性病例。
扫描仪的(通过XSS)的比较远程文件包含检测精度详细记录在sectoolmarket的以下部分:
http://sectoolmarket.com/remote-file-inclusion-detection-accuracy-unified-list.html
结果图表词汇表
请注意, 绿色 条代表弱势测试用例检测精度,而 红色 条代表假阳性 类 的工具(这可能会导致更多的情况下又是什么了吧居然呈现,相对于检测精度巴)检测。
该攻击(XSS通过)的RFI检测商用/ SAAS扫描仪精度
该攻击(XSS通过)的RFI检测开源/免费扫描仪精度
该攻击(XSS通过)的RFI检测扫描仪 – 统一精度表
14。测试七 – 反映XSS检测
第七评估标准一直是每年WAVSEP评估的一部分,现在四年(!),并保持他们的工具不同的供应商的结果强调良好。
正如标题所暗示的,这一部分涉及的检测精度反射跨站脚本,一个很常见的风险是在Web应用程序漏洞扫描器的第二个最常见的实现的功能。
使用进行评估的66不同的反射XSS测试案例和一堆假阳性的测试案例,并同时忽略 的各种实验RXSS测试用例包含在WAVSEP 1.5的结果(虽然“实验”的结果都包含在大部分的个人工具扫描日志中sectoolmarket)。
没有太多在本节中是不是已经在以前的文章和基准表示说,除了以当前(一般令人印象深刻的各种保养产品/项目的)结果。
扫描仪’的比较反映跨站脚本检测精度详细记录在sectoolmarket的以下部分:
http://sectoolmarket.com/reflected-cross-site-scripting-detection-accuracy-unified-list.html
注
在某些产品缺陷似乎影响其检测精度反射XSS,因为在过去,这些产品获得更高的效果(尤其是arachni / W3AF)。
结果图表词汇表
请注意,绿色 条代表弱势测试用例检测精度,而红色 条代表假阳性类的工具(这可能会导致更多的情况下又是什么了吧居然呈现,相对于检测精度巴)检测。
注意:
在评估 Qualys公司 极有可能是一种优化机制 影响 的 扫描结果 的 自检测试案例 (相比WAVSEP 2012结果)。虽然其他厂商禁用类似的机制,解决了这个问题,的情况下,在Qualys公司的情况下,这种优化机制,无法通过配置接口禁用。目前,我们正在试图找到解决问题的方法。
商业/ SAAS扫描仪的反射XSS的检测精度
开源/免费扫描仪的反射XSS检测精度
扫描仪的反射XSS检测精度 – 统一列表
15 测试八- SQL注入攻击的检测精度
15。测试八 – SQL注入检测
八大评估标准是历久弥新的SQL注入检测精度,另一个一直与我们过去四年评估套件(!)WAVSEP基准。
作为国内最知名的风险(和强大的攻击)和Web应用程序扫描仪最常实施的攻击媒介之一,它也是在维护项目的一个方面显示了巨大的改善,多年来。
| 虽然WAVSEP 1.5的版本包括可选的漏洞的SQL注入测试案例进行了调整,以支持其他数据库(如MSSQL,ORACLE等 – 由于本ZAP队员无尽的慷慨贡献),由于时间的限制,评价是只执行所采用的MySQL的5.5.x作为其数据存储库中的应用程序,并且因此,仅可以扫描一个使用类似的数据存储库的应用程序时反映该工具的检测精度。我的假设然而,是基于错误的测试用例和基于行为的测试案例的检测结果将是几乎相同的,如果底层数据库会有所不同,但会有一些的测试工具在需要的测试用例有差别基于时间的检测方法(其中一些扫描仪可能不支持使用适当的数据库特定的时间延迟功能)。 |
扫描仪的SQL注入检测精度的比较详细的记载在sectoolmarket的以下部分:
http://sectoolmarket.com/sql-injection-detection-accuracy-unified-list.html
结果图表词汇表
请注意, 绿色 条代表弱势测试用例检测精度,而 红色 条代表假阳性 类 的工具(这可能会导致更多的情况下又是什么了吧居然呈现,相对于检测精度巴)检测。
注意:
在评估 Qualys公司 极有可能是一种优化机制 影响 的 扫描结果 的 自检测试案例(相比WAVSEP 2012结果)。虽然其他厂商禁用类似的机制,解决了这个问题,的情况下,在Qualys公司的情况下,这种优化机制,无法通过配置接口禁用。目前,我们正在试图找到解决问题的方法。
商业/ SAAS扫描仪的SQL注入检测精度
的开源/免费扫描仪的SQL注入检测精度
扫描仪的SQL注入检测精度 – 统一列表
16。测试九 – 攻击媒介支持
第九评估标准是多少的审计功能每个工具的支持。
为基准的目的,审计功能被定义为一个共同的 通用应用程序级别的扫描功能,支持风险可能被用于攻击测试的Web应用程序,获取敏感资产或攻击合法客户端的检测。
评估标准的定义排除了产品的具体风险和基础设施相关的漏洞,而独特和极为罕见的特征进行记录,并在本研究的不同部分,并针对计算结果时,并没有考虑到。
推理:一个自动化工具无法检测曝光无代码模块旨在确定的问题,因此,审计特征的数量会影响风险的类型(和数量),该工具将能够检测(假设审计功能正确执行,那脆弱的切入点将被检测到,该工具将能够处理相关的扫描障碍和扫描额外补贴,以及该工具将管理扫描弱势输入向量)。
虽然我通常放置的评估支持审计功能中的基准更高的地位重要,我目前的研究使我做出一些改变。
我仍然认为支持通用的漏洞检测功能量(又名审计插件)是一个非常显著 的方面,也许比我做过。
不幸的是,我得出的结论当前列表中的WAVSEP项目文件就像是在大海下降。
| WAVSEP目前包含信息的扫描仪是相对更审计功能丰富- 相对,因为相对于其他项目,而不是攻击那里的实际品种。虽然“ 相对 “可能仍然是消费者非常有用的,在我看来,它不是有用的行业,因为我所希望的。原来,当我创建这是目前使用(包括支持审计插件列表32攻击类别的时刻),我是从那个插件列表组成了普遍支持 通过扫描仪在当时(2009-2010年)。
虽然该名单在某种程度上限制,绝不代表的攻击扫描仪的整体名单应检测 (希望有一天能够检测到),它足以代表 了不同的产品之间。 五年过去了 – 和许多事情发生了变化。 许多新的通用的应用程序级 攻击 被发明,出版,或重新分类。 像项目CWE,CAPEC,OWASP测试指南,攻击 和漏洞, WASC 和其他人加入越来越多的攻击分类,这还没有考虑到发表在博客,会议和比赛的众多载体,往往没有得到关注他们当之无愧。 而在扫描仪中普遍采用的扫描功能通常是从派生功能需求,接受更高层次的“攻击媒介普及 “和宣传,漏洞的厂商(在一定程度上的用户)认为 是最常见的还是严重的,有时一些厂商特定的“异国情调”的载体,从来没有任何路线图,将分类为消费者什么 其他重要的厂商支持。 所以,搞清楚了这一点,之前的基准后,我决定扩大我的攻击和漏洞的列表,这样我就可以正确映射的各种工具对贡献的整体 风险图,并在研究阶段的前本出版物,我开始研究该载体的扫描仪可以识别潜在的实际存在,以及那些由单独的扫描仪都支持。 那么,它了相当不错… 事实上,它去这么好,到目前为止我归类227 不同的应用程序的攻击 ; 227的攻击,不包括乘法器由于持续/会话/间接的状态,我什至做了映射和分类他们。 不用说,这是一个很大的每个产品对应的任务。 事实上,分 类和优先这些矢量的努力,同时验证该产品支持他们是如此的高,我不得不推迟他们的出版物,或者您正在阅读的研究可能尚未发布的任何时间很快。 所以,此刻,本节介绍的相对 各种审计功能的支持,以及研究过程中收集到的内容的其余部分将不得不等待其他出版物。 |
对各种审计功能的扫描仪支持的详细比较详细的记载在sectoolmarket的以下部分:
http://sectoolmarket.com/audit-features-comparison-unified-list.html
注
WebInspect可以的审计功能,计数结果可能会在未来几天内的变化,由于额外的验证过程,我目前正在进行。如果最终有任何变动,我会用比较专用的Twitter账户宣布他们@ sectoolmarket
审计数特点在扫描仪 – 商业/ SAAS工具
审核要素的数量在扫描仪 – 开源/免费工具
审核要素的数量在扫描仪 – 统一列表
17。测试X – 适应性 – 扫描壁垒
应用程序可以包含各种不同的机制和技术,可以构成一个障碍,一个扫描器 – 事实上,有效地防止其从扫描应用程序时为有效。
扫描障碍,如反CSRF令牌,验证码机制,平台特定的标记(如需要的视图状态值)或帐户锁定机制,已经成为不可分割的一部分许多应用。复杂的RIA客户端技术如Flash,Applet和Silverlight的肯定不是罕见的。
虽然不一定是可测量的质量时,扫描仪的处理不同的技术和扫描屏障的能力是一个重要的油水,并且在某种意义上,几乎同样重要的是能够扫描输入发送方法。
推理:一个自动化工具无法检测到漏洞点和拍摄情况下,如果它不能找到和扫描易受攻击的位置,由于在一定缺乏支持一个浏览器插件,用于提取缺乏支持某些非标准的载体,或在克服特定的障碍,如需要令牌或挑战缺乏支持数据。越障碍扫描仪能够处理,比较有用的是扫描雇用运用各种技术和扫描障碍复杂的应 用程序时。
对各种障碍的扫描仪支持的详细比较详细的记载在sectoolmarket的以下情况:
http://sectoolmarket.com/coverage-features-comparison-unified-list.html
下面的图表显示有多少种类的壁垒每个产品声称能够处理(注意,其中的许多功能未得到验证,目前的信息依赖于文件,研究和供应商提供的信息):
适应性得分的商业/ SAAS扫描仪
的适应性得分开源/免费的扫描仪
适应性得分的Web应用程序扫描仪 – 统一列表
18。测试XI – 验证/可用性
虽然支持应用程序所需的身份验证方法似乎是一个关键的质量(当然是一个方便的功能),在现实中,某些扫描器代理链功能可以化妆的缺乏支持大多数的认证方法,通过采用使用第三方代理服务器进行身份验证代扫描仪的。
例如,如果我们想使用不支持NTLM身份验证(但不支持上游代理)扫描仪,我们可以定义在Burpsuite FE的相关凭证,并将其定义为扫描仪上游代理,我们打算使用。
然而,链接的扫描器到支持的认证的外部工具仍然有一些缺点,其中一些主要的,例如降低的性能,潜在的稳定性问题,线程限定和一般的不便。
下面的对比表显示的验证方法和功能由各种摊派扫描仪的支持:
http://sectoolmarket.com/authentication-features-comparison-unified-list.html
19。第十二测试 – 结果/功能与定价
下面的评估是对事实的重要成果的总结,在比较产品的价格和功能。
本节将可能是任何人都希望购买商业或SaaS解决方案中最有用的部分,或正在讨论是否要使用开源产品代替。
正如我在介绍中提到,由于Web应用程序扫描程序实际上可能是一个捆绑的几个半独立的产品(通用漏洞扫描,已知的漏洞扫描器,感染扫描仪等),这是非常重要的需要注意哪些模块包含在每个报价,特别是涉及到商业扫描仪的价格。
WAVSEP目前着重于评估通用漏洞扫描模块的Web应用程序扫描程序,不管它是你付出可能是相对于模块的其余部分的产品包含(或不包含),如果你确实需要这些。
总之,扫描仪的价格可能会(也可能不会)反映了一组很可能已单独定价作为独立的产品的产品。
为了您的方便,我投资了一些工作,使这些产品包含其他模块的映射,虽然模块的一些分类仍可能会丢失。
映射模块包括通用的 网络应用程序扫描模块,通用的Web服务扫描模块,flash应用扫描模块和CGI扫描模块 (又称Web服务器扫描模块或已知的漏洞扫描模块)。
映射的类别不 还包括SAST 和IAST扫描模块,小程序/ Silverlight的扫描模块,网站感染扫描模块及其他类别,可以映射的未来。
要注意的另一个重要问题是类型 的许可证获得。
一般情况下,我没有涉及非商业在这个比较价格,此外,没有包括任何特定供应商的捆绑销售,折扣及销售摊位。
我提出在供应商网站上市或由供应商提供给我的底价,根据共6预定义的类别,这是在事实上,以下概念组合:
顾问许可证: 虽然没有一个普遍接受的术语,我定义的“顾问”牌照,适合一家咨询公司的共同要求许可证-扫描IP地址的数量不受限制,没有任何界限或限制。
有限公司企业许可证:即允许扫描一个无限的,但有限的一组地址(例如-内部网络地址,或组织特定的资产)的任何许可被定义为企业许可证,这可能不适合的顾问,但通常是足够的一个组织有意评估其自己的应用程序。
网站/年 -到一个单一的工作站上安装该软件,并用它一年对单个IP地址的许可证(例外是Netsparker,其中每个网站上的价格反映了3个网站)。
座椅/年 -到一个单一的工作站上安装该软件,并用它为一个单一的一年的许可证。
永久许可 -支付一次,它就是你的(可能仍然由座椅,网站,企业或顾问的限制是有限的)。供应商的网站通常包括额外的价格为可选支持和产品更新。
不同的价格可以在专用的比较中sectoolmarket,可以在以下地址查看:
重要的是要记住,这些价格可能会改变,变化或受到众多变数,从特别折扣和销售商的战略意识决定你投资作为一个客户或一个beta测试的网站是非常重要的。
20。额外的比较
以下部分包含曾记载,当时在整个研究中,并且可以利用读者的测试工具的其他信息。
工具列表
在这个基准测试工具清单,而在此前的基准,可以通过以下链接访问:
附加功能
这不评估或包含在基准互补扫描功能:
(*)辅助扫描功能
(*)一般扫描仪特性
为了澄清报告表中的每个列表示,使用下面的词汇表:
| 标题 | 可能的值 |
| 配置和使用比例 | 很简单 – GUI +精灵简单 -图形用户界面与简单的选择,用扫描配置文件或简单的选择命令行复杂 -图形用户界面与众多的选择,有多个选项的命令行
非常复杂 -手动扫描功能的依赖,多种配置要求 |
| 稳定规模 | 非常稳定 -很少崩溃,从未被卡住稳定 -很少崩溃,卡住只有在极端情况下不稳定 -崩溃每过一段时间,冻结一致的基础上
脆弱 -在一致的基础冻结或崩溃而未能执行操作在很多情况下 |
| 操作量表 | 非常快 -快速实现与扫描任务数量有限快速 -快速实现用大量的扫描任务慢 -慢的实施与扫描任务数量有限
很慢 -慢执行用大量的扫描任务 |
扫描日志
为了访问扫描日志,每个扫描仪的详细扫描结果,只需访问扫描特定信息的扫描仪,按一下扫描仪的版本在不同的比较图表:http://sectoolmarket.com/
21。是什么改变了?
由于最新的基准测试中,许多开源和商业工具增加了新的功能和改进他们的检测精度。
下面的列表给出变化的检测精度和覆盖面的总结商业是进行了测试在前面的基准(+新)工具:
(*)NTOSpider – NTOSpider最后的评估发生在2011年,从那时起,出现了显著 的改善 在所有的测试类别,以及在2011年没有进行测试的最新结果。它也出来了第一的WIVET类(连同其他3个产品)和跨站脚本类(连同其他10),并得到了很高的分数,等等。它得到了新的考验(重定向/备份)的排名混合。
(*)N-潜行者(商业版) – N-潜行者的商业版是评估在这个基准测试的 第一次。唯一可比的结果是免费版本在2012年测试了XSS的结果,在这种情况下,有一个显著的改善。结果其余得到它的各种行列。
(*)Qualys公司 – Qualys公司于2012年首先测试了,从那时起。该WIVET得分没有变化(仍然之一 最高),并出现了一些新的测试结果为好,但SQL注入和XSS反映结果实际上更糟糕,因为我目前归因于暂时的错误,无论是在产品或(不太可能),我的测试程序。
(*)ScanToSecure -这是评估的第一次,并得到了几乎相同的那些Netsparker的结果的另一个新的SaaS服务。
(*)Netsparker(商业版) – Netsparker结果在几乎每一个类别进行了改进。该WIVET得分略有改善(中的一个最高的),它出来第一的反射XSS(连同10人)和远程文件包含(连同其他4)类别,极大地改善了以前的本地文件包含结果(之一的最高成绩),并得到了许多其他的测试有很大的效果。喜欢的产品在同行业中的绝大多数,其结果是莫名其妙地混在新的测试(备份/重定向)。
(*)的WebInspect – WebInspect可以显著提高其在各类分数:这是唯一的获胜者 在客户机/栅栏覆盖功能比较,出来第一 的WIVET评估(连同3人),在远程文件包含(连同4其他),反映的XSS(连同10等)和SQL注入(连同其他4)类别,得到了惊人的高 比分在新的(秘密)未经验证的重定向类(最高的是商业),以及大量其他高分数的不同类,但没有得到一个很好的得分在备份/隐藏文件检测评估。
(*)AppScan的 – AppScan的太显著提高其在各类分数:这是唯一的赢家在本地文件包含和支持审计功能类别,得到了最高WIVET成绩之一,出来第一的SQL注入(连同4其他),反映的XSS(连同10等)和远程文件包含(连同其他4)类别,有大量高分在其他类别中,却得到了不同的结果,在新的测试(备份/隐藏文件和未经验证的重定向)。
(*)的Acunetix WVS(商业版) -轻微的Acunetix改善,由以前的基准测试结果,并得到了一些非常有趣的新成果:它得到了最好的成绩在新的 备份/隐藏文件商用扫描器中类(有些人会说,计),出来后第一在WIVET(连同3人),SQL注入 (连同4人),反映的XSS(连同其他10人),得到了在许多其他类别的丰硕成果,但没有得到一个不错的成绩。在新的未经验证的重定向类别。
(*)Syhunt动态 – Syhunt 极大地 提高了他们的WIVET得分(出来第一,随着3人),并略有改善等成绩,以及(LFI等)。他们得到了一个混合的结果扫描备份/隐藏文件时,并没有一个插件扫描未经验证的重定向测试案例(至少据我可以告诉)。
(*)打嗝套件临 – Burp是无可争议的赢家了的(整体)的多功能性范畴,是唯一的赢家在输入矢量支持类(紧随其后的是NTO,而较少密切AppScan的话WebInspect可以和IronWASP),得到1的在得分最高的检测备份/隐藏文件(相对),而且在许多其他类别体面的分数。它也出来了第一的SQL注入(连同4人)和反射XSS(连同其他10人)类别,并显着改善其RFI得分,但很可惜,没有得到一个很好的得分在WIVET测试(同去年)。
(*)WebCruiser -相比于以前的版本在测试类无显著变化。
(*)ParosPro -未重新检测,由于没有更新被释放,因此具有相同的结果。
(*)JSky -未重新检测,由于没有更新被释放,因此具有相同的结果。
(*)菊 -没有重新测试,因为没有更新已经发布,所以它有相同的结果。
下面的列表给出变化的检测精度和覆盖面的总结开源/免费工具,这些工具在以前的基准测试:
(*)ZAP – ZAP显著几乎所有的业绩改善。它实现了一个新的AJAX检索功能,极大地 提高了其WIVET得分(最高开源中) -但此功能可选,需要时间来使用。它出来第一的反射XSS类(连同其他10人),得到了在SQL注入,远程文件包含和本地文件包含,以及一个体面的结果,在许多其他类别得分最高的一个。如果你考虑到外部GoF的 插件,ZAP公司也是赢家的的备份/隐藏文件 检测类,虽然我要离开这个解释给读者。ZAP然而,没有得到一个很好的得分时,对未验证的重定向测试用例进行测试。
(*)IronWASP -虽然IronWASP也有了一个新的AJAX检索功能,它被释放太迟,我不能正确地测试它,在我看来,需要多一点抛光(尽管有传闻称它得到一个疯狂的WIVET得分)。它没有但是,做一个干净的(和意外)带走由是唯一的赢家在新的和隐藏的未经验证的重定向 范畴,与检测测试案例,没有其他的工具有一个令人印象深刻的成绩。它也共同赢得了反射XSS类(连同其他10),并得到了许多其他测试一些伟大的结果。由于技术上的困难,我还是做不成WIVET的分数,但希望能有很快。
(*)Skipfish – 。Skipfish是在后面的比赛 虽然以前的版本相对越野车,目前测试的版本有很骄人的成绩,成绩显着一致性(不幸的是我没测),并显着改善在几乎每一个测试类我用它。它得到了非常骄人的成绩在许多类别,也是一个相对很高的成绩在未经验证的重定向类别。
(*)维加 -维加绝对是一个令人惊讶的球员 在这个基准。它出来第一在两个反射XSS (连同10人)和远程文件包含(连同4人)。它得到了一个梦幻般的WIVET 结果的开源工具(不使用可见的浏览器最好的开源的结果-这是其他开源工具,具有良好的效果一样-值得重用的其他Java工具),并得到了非常骄人的成绩同时在本地文件包容(虽然有很多误报)和SQL注入。令人遗憾的是,它没有插件未验证的重定向或备份/隐藏文件,我可以测试。
(*)Arachni -尽管任何人都将安装并使用arachni的最新版本将立即通知在可用性显著改善-一个非常令人印象深刻的改进,如果我想补充,并可能是我看到的最一致的行为-但不幸的是没有测量(后面的“的理念自动油门 “的特点是非常有趣的-可能负责一些一致的结果-因为它得到了同样的结果,无论有多少它扫描的URL -非常罕见的在这个行业),在跨站脚本插件的bug似乎以减少其在该类别中的得分比上评估,而另一个错误导致备份/隐藏文件检测插件不正常的。它还是出来了第一的远程文件包含测试(连同4人),改进了一些其他的结果,并获得了第三的最好成绩在新的未经验证的重定向类(连同WebInspect可以),也让我思考如何轻松只是用它来 启动一个新的SaaS业务。
(*)W3AF – W3AF的开发版本有任何影响其得分几个错误,而事实上,一些业绩实际上比过去的基准(错误报告给供应商)更差。它没有但仍设法惊喜和获得的最好成绩在一个开源的工具未经验证的重定向类(和第二个最好成绩在该类别的总数),一个比较好的结果,在备份/隐藏文件检测类别,和一对夫妇那是令人印象深刻,尤其是在开源产业(wivet,功能)的上下文的其他结果。
(*)WATOBO – WATOBO 显著改善 其两个SQL注入和XSS反映成绩,得到了在LFI相同的分数,并得到了高于平均水平(相对)的结果在备份/隐藏文件检测(这是一般不好平庸的大多数工具),但是在测试的时候没有任何射频干扰或未经验证的重定向功能,我可以测试。
(*)马鹿 -那些谁记得它得到了惊人的高分在以前的基准测试这个工具,会很高兴知道,这个项目最近已恢复,并有新版本发布。它得到了几乎每一个类别中比较好的效果(令人印象深刻的WIVET的一个开源工具),以及改良。它没有但是,也很难与它有一个低得分的备份/隐藏文件类别。
(*)N-潜行者2012 FE显着改善其反映的XSS分数相比之前的基准。
(*)Netsparker社区/免费版得到了在它的一些成绩一些轻微的改善,并且仍然拥有最好的WIVET分数的免费工具之一,但在总体上,相比之前的基准没有重大的改变。
(*)SQLMap的,WebSecurify,FE的Acunetix和一对夫妇的其他项目并没有重新测试,而大部分Syhunt迷你,AndiParos和防止外空军备竞赛的功能并没有重新测试(虽然后三者为得到未经验证的重定向和备份/隐藏一些新的结果文件)。
22。开源与商业 – 透视?
相比前一年,今年我就开源与商业工具之谜的结论是不是决定性的。
该部分是因为我没有尚未完成所有的分析过程我有计划,有它的一部分,因为确实是在开源业界显著改善(和不计轻轻发生在商业部分的显著改善) 。
项目如ZAP和IronWASP 开始支持现代Web应用程序扫描输入交付方式,包括JSON / AJAX,XML,甚至几乎唯一载体如OData的和GWT,甚至大多数商业供应商不支持。
像W3AF项目早已被几乎为功能丰富的WebInspect可以和Appscan能够(虽然他们仍然缺乏稳定性),织女星是越来越接近具有能产生类似的结果,一个商业供应商,而爬行机制,如果我是Qualys公司(或任何其他云供应商),我会看的Arachni项目的改进密切。认真-安装它,并给它一个镜头……结果不强调它到了成熟的水平。
然而,在纯粹的数字,作为一个整体的解决方案,大部分开源工具仍然落后有点落后了一些主要的商业玩家,至少如果你考虑到所有的类…虽然我承认,我不说,随着同样的信心,因为我做之前,我认为,需要进一步分析,以得到一个实际的结论。
23。验证基准测试结果
该基准测试的结果可以通过复制在每个扫描仪的扫描日志(在访问中所述的扫描方法进行验证sectoolmarket通过每个产品的版本链接),并通过测试对扫描仪WAVSEP V1.5(从获得的sourceforge上WAVSEP资料库)和WIVET V3-revision148。
同样的方法可以用于评估了未包括在基准漏洞扫描器。
24。所以,下一步是什么?
在研究过程中,我一直在进行在过去的18个月左右(这些只是为了收集目前你看到的结果7),我收集了大量的信息。
由于我的坚持时间紧,太多的冒险和努力,我不想任何再拖延公布事实,我没有公布的内容是聚集了很多,所以在接下来的几个星期,我要尝试把它包起来,以便它可以取得成果尽快……在我看来,在未公布的内容得出的结论可以是非常有趣的技术趋势在这个行业。
基准被骂为一部分,我是有原因的,虽然我可能很快就会增加额外的产品的结果,在即将到来的几周,我打算把重点放在努力,看看有多少的努力将被要求释放第二部分,这将有一个非常不同的结果的格式相比,典型WAVSEP基准。
25。推荐阅读名录:基准
以下资源包括以前的基准,比较和评估,Web应用漏洞扫描器领域的更多信息:
(*)“ HackMiami Web应用程序扫描仪2013 PwnOff “,由詹姆斯球,亚历山大HEID,罗德·索托(于HackMiami 2013会议上发表论文5 Web应用程序扫描仪的比较)。
(*) “ 前10名:Web应用程序漏洞扫描器基准日”,目前基准的前身之一,由陈吉文(共60个商业及开源扫描仪2012年7月的比较)
(*) “ 敌人的国家:一个国家感知黑盒网络漏洞扫描”,由亚当Doup’e,卢多维科Cavedon,克里斯托弗Kruegel,和Giovanni豇豆(发表于2012年3扫描仪的比较)。
(*)“SQL注入通过HTTP标头”,由亚西尔·阿布基尔(2011年60扫描仪基准的分析和改进,用不同的方法来解释结果,2012年3月)
(*) “ 的扫描军团:Web应用程序扫描仪精度评估及功能比较”,目前基准的前身之一,由陈吉文(共60个商业及开源扫描仪比较,2011年8月)
(*) “ 建立一个基准的SQL注入扫描仪”,由安德鲁·佩图霍夫(商业和开源扫描SQL注入基准与产生27680(发电机!)测试案例2011年8月)
(*)“ Webapp的扫描仪回顾:对的Acunetix Netsparker“,由马克·鲍德温(商用扫描仪对比2011年4月)
(*)“ 有效性的自动化应用程序渗透测试工具 “,由亚历山大·米格尔·费雷拉和Harald KLEPPE(商业和免费软件的扫描仪相比,2011年2月)
(*)“ Web应用程序扫描仪精度评定 “,一是目前的基准的前身,由 陈吉文(共43个免费和开源的扫描器的比较2010年12月)
(*)“ 国家的艺术:自动黑盒Web应用程序漏洞测试 “(原稿纸张),由Jason巴乌,埃利Bursztein,Divij古普塔,约翰·米切尔(2010年5月) -原纸
(*)“ 分析Web应用程序安全扫描仪的准确度和时间成本 “,由拉里·苏托(商用扫描仪相比,2010年2月)
(*)“ 为什么约翰尼不能Pentest:黑盒网络漏洞扫描器的分析 “,由亚当Doup’e,马可科瓦,乔瓦尼·维尼亚(商业与开源的扫描仪相比,2010)
(*)“ 网络漏洞扫描评估 “,由AnantaSec(商用扫描仪相比,2009年1月)
(*)“ 分析Web应用程序安全扫描仪的有效性和覆盖面 “,由拉里·苏托(商用扫描仪相比,2007年10月)
(*)“ 滚动审查:Web应用程序扫描仪仍然有问题,使用Ajax “,由约旦威恩斯(商用扫描仪相比,2007年10月)
(*)“ Web应用程序漏洞扫描器-一个基准 “,由Andreas维特根斯坦,弗雷德里克英格索兰,马库斯·舒马赫博士,塞巴斯蒂安Schinzel(匿名扫描仪相比,2006年10月)
26。致谢
在执行本文中描述的研究,我从大量的个人和资源得到了帮助,我想借此机会感谢他们所有人。
研究人员Ozhan Sisic和沙拉斯乌尼其贡献的内容和结果的评估,以及这样做牺牲了自己的时间,在密集的时限,并经常在不合理的时间和时限。
到了尽最大努力帮助我时,他们可以,尤其是对那些选择保持匿名的各种附加的志愿者。
对各成员在牛仔布集团,尤其是丹山茱萸,整个项目的协助下,适应他们的优秀平台Threadfix适合我的需要,并且使我能够处理几乎不可读的结果和共享信息与参加世界各地的志愿者测试。
对于这些不同的实体,并且提供代码以WAVSEP,包括(但不限于)的各个项目的作者ZAP项目和Lavakumar Kuppan从IronWASP项目。
以丹Kuÿkendall从谁允许我使用他们的在线增强WIVET适应作为一个额外的验证机制为当地WIVET结果NTOBJECTives。
对于所有的开源 工具的作者是协助我测试的各种工具中不合理的深夜时分,并尽力去调整他们的工具对我来说,讨论其不同的特点和投资时间在解释我怎么可以优化他们的使用,
到了公司的CEO,产品经理,市场营销人员, QA工程师,支持个人和团队开发商业供应商,这为我节省了大量的时间的,支持我在整个过程中,帮助我克服了障碍,并提出我的经验愉快。
为了帮助我收集扫描仪多年来列表中的各种信息源,传播关于以前的基准的消息,并获取知识,想法和见解,包括(但不限于)信息安全来源,如安全Sh3ll(HTTP :/ /安全sh3ll.blogspot.com /),PenTestIT(http://www.pentestit.com/),黑客新闻(http://thehackernews.com/ ),Toolswatch(http://www.vulnerabilitydatabase的.com / toolswatch /),暗网(http://www.darknet.org.uk/),数据包风暴(http://packetstormsecurity.org/),谷歌(当然),Twitter的(和永无止境的清单收藏夹我一直有)和其他许多伟大的来源,我已经使用多年收集的工具列表。
我不知道怎么感谢你们够了,祝你一切顺利。
27。附录A:工具未包含
下面的商业 Web应用程序漏洞扫描器是不包括 在基准测试中,由于从我的一部分,期限和时间的限制:
商用扫描仪不包括在此基准
(*)Websure
(*)冰雹(Cenzic)
(*)的McAfee Vulnerability Manager的 (迈克菲/ Foundstone的)
(*)NeXpose企业版Web应用程序扫描功能(Rapid7)
(*)视网膜Web应用程序扫描仪 (eEye数字安全公司)
(*)SAINT扫描 Web应用程序扫描功能(SAINT合作。)
(*)WebApp360 (nCircle公司)
(*)的核心影响临Web应用程序扫描功能 (核心影响)
(*)Parasoft的Web应用程序扫描功能 (又名此Webking, 通过Parasoft的)
(*)MatriXay Web应用程序扫描仪 (DBAppSecurity)
(*)Falcove (BuyServers有限公司,当前代码未维护)
(*)Safe3WVS 13.1商业版 (Safe3网络中心)
下面的开源的Web应用漏洞扫描器是不包括 在基准测试中,主要是由于时间的限制,但可能会包含在未来的基准:
开源扫描仪不包含在这个基准测试
(*)先锋
(*)WebVulScan
(*)SQLSentinel
(*)XssSniper
(*)兔VS
(*)Spacemonkey
(*)KAYRA
(*)2gwvs
(*)Webarmy
(*)springenwerk
(*)Mopset 2
(*)XSSFuzz 1.1
(*)Witchxtoolv
(*)PHP的注射器
(*)XSS助理
(*)提琴手XSSInspector / XSRFInspector 插件
(*)GNUCitizen JAVASCRIPT XSS扫描仪
(*)漏洞扫描1.0(CMIN,RST)
以下是部分清单 SAAS扫描仪都没有包括 在基准测试中,主要是由于时间的限制,但可能会包含在未来的基准:
SAAS在线扫描服务
AppScan的随需应变(IBM),单击以安全,哨兵(WhiteHat的),根据Veracode(Veracode的),Quatrashield,Veracode的动态分析,edgescan,VUPEN的Web应用程序安全扫描(VUPEN安全)的WebInspect(在线服务-惠普),WebScanService(Elanize KG),Gamascan(GAMASEC -目前不在线),云弹丸(Secpoint),零日扫描,DomXSS扫描仪,魔像技术等。
其中使用的是动态运行时分析Web应用程序测试工具 (IAST):
(*)导引头 (Quotium)
(*)Appscan能够的Glassbox(IBM)
(*)对比度 (看点安全)
(*)PuzlBox(现命名为PHP漏洞猎人)
(*)Inspathx
基准专注于那些能够检测至少反映XSS或SQL注入漏洞的Web应用扫描器,可以在本地安装,并且还能够扫描多个URL相同的执行。
其结果是,在测试没有包括的工具的种类如下:
扫描仪没有RXSS / SQLI检测功能:
(*)统治者 (Firefox插件)
(*)FIMAP
(*)lfimap
(*)DotDotPawn
(*)LFI-扫描器
(*)LFI-扫描仪
(*)LFI-RFI2
(*)LFI / RFI检查(astalavista)
(*)CSRF测试仪
(*)等等
被动扫描仪(响应分析无需验资):
(*)守望者 (提琴手插件由甜瓜安全)
(*)Skavanger (OWASP)
(*)豹猫 (OWASP)
(*)Ratproxy (谷歌)
(*)CAT手动应用程序代理(上下文)
(*)等等
具体的产品或服务(CMS扫描仪,网络服务等)的扫描仪:
(*)WSDigger
(*)Sprajax
(*)ScanAjax
(*)Joomscan
(*)wpscan
(*)Joomlascan
(*)Joomsq
(*)WPSqli
(*)等等
无法控制的扫描仪
扫描仪无法控制或限制在扫描一个网站,因为他们要么接受URL列表中从谷歌愚蠢者进行扫描,或继续和扫描外部网站链接到测试站点。此列表目前包括以下工具(并且可能包括更多):
(*)Darkjumper 5.8(链接到给定的测试主机扫描额外的外部主机)
(*)巴科的SQL注入扫描器 2.2(仅测试从谷歌笨蛋网站)
(*)Serverchk(从谷歌白痴只测试网站)
(*)XSS扫描仪由木糖醇(只有从谷歌笨蛋测试网站)
(*)Hexjector由hkhexon -也属于其他类别
(*)d0rk3r由b4ltazar
不推荐使用的扫描仪
那些没有维持很长一段时间不完整的工具;目前包括以下工具(和可能包括更多):
(*)Wpoison(于2003年停止了发展,新的官方版本从未公布,虽然2002年的开发版本,可以通过手动编写不出现在网站,sourceforge上的URL获得http://sourceforge.net/projects / wpoison /文件/)
事实上的fuzzers
该扫描以类似的方式与扫描器的应用程序,但是其中扫描器试图结束与否的应用程序或者是脆弱的(按照某些形式的“智能”的规则集)的工具,该模糊器简单地收集到的各种输入异常反应和行为,留下结论性的人类用户的任务。
(*)莉莉丝0.4c/0.6a(两个版本0.4C和0.6A进行了测试,虽然该工具似乎是一个扫描仪在第一次看到,它不执行对结果有任何智能分析)。
(*)尖峰代理 1.48(虽然工具有XSS和SQLI扫描功能,它就像一个模糊多那么它的作用就像一台扫描仪-它发送部分XSS和SQLI的有效载荷,并且不验证返回的输出的情况下足以用于执行或由服务器提供的错误与数据库语法喷射,而使验证任务的用户)。
模糊器
扫描缺乏断定是否在给定的反应代表一个弱势的位置,通过使用某种验证方法(该类别包括诸如JBroFuzz,Firefuzzer,Proxmon,st4lk3r等工具)独立能力的工具。模糊器是至少有一种类型的曝光被证实被列入基准(Powerfuzzer)。
CGI扫描器
漏洞扫描器,重点检测网络基础设施的硬化的缺陷和特定版本的危害(尼克托,Wikto,西隧公司,st4lk3r,N-隐形等)
单一的URL漏洞扫描器
扫描仪只能扫描一个网址的时间,或者只能从一个谷歌的白痴(不可控)扫描信息:
(*)Havij(由itsecteam.com)
(*)Hexjector(由hkhexon)
(*)简单的XSS的Fuzzer [SiXFu](由www.EvilFingers.com)
(*)Mysqloit(由muhaimindz)
(*)的PHP的Fuzzer(罗密欧从DarkMindZ)
(*)SQLI -扫描仪(由瓦伦丁霍贝尔)
(*)等等
漏洞检测工具包
工具,有助于发现漏洞,但没有检测到自己的弱点,例如:
(*)漏洞-我的套房(XSS-ME,SQL注入,我,接入-ME)
(*)提琴手X5S插件
(*)XSSRays (铬插件)
开发工具
工具可以利用漏洞没有任何独立的能力,自动侦测大规模的漏洞。示例:
(*)MultiInjector
(*)XSS -代理-扫描仪
(*)穿山甲
(*)FGInjector
(*)苦艾酒
(*)Safe3 SQL注入(一个开发工具,具有扫描功能(pentest模式)是不可用的免费版)
(*)等等
特殊情况下,
(*)SecurityQA工具栏(动iSec) -各种列表和传闻,包括此工具的自由/开源漏洞扫描器集合中,但是我无法从供应商的网站上获得,或从任何其他合法来源,所以我真的不知道它符合“免费使用”的范畴。
重视客户的每个愿望,这是我们能胜过同行的原因。
开锁不能总用钥匙;解决问题不能总靠常规的方法。
上帝让每个人长一个脑袋是用来思索的,不是用来戴帽子的!