四款Web扫描器

四款扫描器：

appscan          IBM公司

awvs                国外       

xray                 长亭科技

Netsparker      俗称“鲨鱼”

另外补充：绿盟极光、安恒明鉴。

一、appscan

本次案例：版本10.0.4破解版，安装完成后许可证显示已经生效。

扫描网页：虚拟机上IIS搭建的站点，IP、端口：10.0.0.211:81

扫描过程与结果：

 

二、AWVS

安装完成后，在网页端打开。

 

可以看到详细的漏洞分析。需要再对漏洞进行验证。

三、 Xray

按照网站要求配置好相关设置。

官网：

https://docs.xray.cool/#/README

正向扫描：（直接爬取对方页面，无需设置代理）

xray_windows_amd64 webscan --basic-crawler http://10.0.0.211:81/ --html-output xray-crawler-testphp.html

                 最终自动生成报告

反向扫描（在本地浏览器设置代理，点一下页面出一个报告，此项该软件比较好用）：

xray_windows_amd64.exe webscan --listen 127.0.0.1:7777 --html-output xray-testphp.html

四、Netsparker

五、总结

1.扫描器的好坏由几个因素决定：

爬行能力：参数不尽相同。

漏洞库：大小不尽相同。

误报率：准确率越高越好。

2.awvs（版本14）总体上比appscan（版本10）好用。

3.传统漏洞国外比国内强，但对于国内的网站是国内的扫描器强于国外。