應用漏洞掃描工具要求具有針對(duì)Web應用和Web服務接口的黑盒漏洞掃描能(néng)力。能(néng)夠快速爬網，并有針對(duì)性的對(duì)網頁進(jìn)行黑盒漏洞測試，同時(shí)對(duì)掃描到的漏洞，提供漏洞的描述、該漏洞緩解方法、漏洞驗證方法等信息。以便于快速定位應用漏洞，并根據提供的緩解辦法，盡快對(duì)漏洞進(jìn)行修補。

主要功能(néng)指标

1、提供全面(miàn)的漏洞規則庫，覆蓋WASC和OWASP兩(liǎng)大Web安全标準組織定義的主流的各種(zhǒng)攻擊技術和手段，包括但不限于：Brute Force、Insufficient Authentication、Credential/Session Prediction、Insufficient Authorization、Insufficient Session Expiration、Session Fixation、Content Spoofing、Cross-site Scripting、Buffer Overflow、Format String Attack、LDAP Injection、OS Commanding、SQL Injection、SSI Injection、XPath Injection、Directory Indexing、Information Leakage、Path Traversal、Predictable Resource Location、Abuse of Functionality、Denial of Service、Insufficient Process Validation等攻擊技術和方法，其中，對(duì)于Cross Site Scripting，能(néng)夠檢測至少20種(zhǒng)變種(zhǒng)；對(duì)于SQL Injection，能(néng)夠檢測至少40種(zhǒng)變種(zhǒng)；

2、支持掃描規則庫的在線和手動升級、自定義規則，以及規則的導入和導出；

3、支持Web應用的技術，如JavaScript、HTTPS以及認證等，以便确保發(fā)現URL的完整性；

4、支持從Flash, PDF, Office等類型文檔中發(fā)現URL，并展開(kāi)安全測試；

5、能(néng)夠測試順序業務邏輯，如新開(kāi)帳戶和進(jìn)行在線購買；

6、支持對(duì)Web service應用系統的安全漏洞掃描，并自帶Web Service服務發(fā)現工具；

7、支持常見的Web認證方式（表單、驗證碼、NTLM等）；

8、 支持HTML爬蟲和SSL；

9、支持用戶編輯報告，爲開(kāi)發(fā)和質量管理人員修複安全缺陷提供幫助，添加自定義注釋或詳細信息。

10、支持“玻璃盒”掃描技術，即不僅可以收到應用的掃描響應，也可監控Web服務器内部的響應；

11、支持适用于手機浏覽器客戶端浏覽的Web應用的漏洞掃描，至少可模拟如下類型的移動設備浏覽器：Chrome、Opera、Safari、Google Android、Blackberry、IE 移動版。

關于蘇州華克斯信息科技有限公司

聯系方式：400-028-4008

                0512-62382981

專業的測試及安全産品服務提供商

Fortify | Webinspect | AppScan

SonarQube | WhiteSource

LoadRunner | UFT（QTP) | ALM（QC）

Micro Focus （原HPE）鉑金合作夥伴

SonarQube中國(guó)總代理

HCL中國(guó)合作夥伴

極狐GiLab中國(guó)鉑金合作夥伴