四款扫描器:
appscan IBM公司
awvs 国外
xray 长亭科技
Netsparker 俗称“鲨鱼”
另外补充:绿盟极光、安恒明鉴。
一、appscan
本次案例:版本10.0.4破解版,安装完成后许可证显示已经生效。
扫描网页:虚拟机上IIS搭建的站点,IP、端口:10.0.0.211:81
扫描过程与结果:
二、AWVS
安装完成后,在网页端打开。
可以看到详细的漏洞分析。需要再对漏洞进行验证。
三、 Xray
按照网站要求配置好相关设置。
官网:
https://docs.xray.cool/#/README
正向扫描:(直接爬取对方页面,无需设置代理)
xray_windows_amd64 webscan --basic-crawler http://10.0.0.211:81/ --html-output xray-crawler-testphp.html
反向扫描(在本地浏览器设置代理,点一下页面出一个报告,此项该软件比较好用):
xray_windows_amd64.exe webscan --listen 127.0.0.1:7777 --html-output xray-testphp.html
四、Netsparker
五、总结
1.扫描器的好坏由几个因素决定:
爬行能力:参数不尽相同。
漏洞库:大小不尽相同。
误报率:准确率越高越好。
2.awvs(版本14)总体上比appscan(版本10)好用。
3.传统漏洞国外比国内强,但对于国内的网站是国内的扫描器强于国外。