安全扫描测试工具对比

最近对几款安全扫描测试工具做了个简单的对比,评分及优缺点基于个人所用的技术栈,另因测试不充分,加上本人在安全测评领域纯属菜鸟,所以结果仅供参考。

工具 收费 多平台 扫描能力 优点 缺点
Acunetix $4500起
试用须人工审核
15天试用期
6 1. Web管理面板
2. API集成
3. 端口扫描(弱)
4. 报表功能
5. 持续扫描,问题跟踪
6. WAF集成
7. 可录制登录序列
8. 支持VUE项目登录并扫描后续页面
9. 爬虫能力强
1. 无问题的请求日志不详
2. 几乎无交互
3. Web管理面板BUG多
4. 不能手动停止服务
Burp Suite 免费版
专业版$399一年
试用申请自动通过
30天试用期
须用非公共邮箱
5 1. 可录制登录序列
2. 交互式的代理模式
3. Intruder功能较多
4. 请求日志功能强大
5. 请求日志有多项操作
1. 爬虫较弱
2. 重复链接不过滤
3. VUE项目支持不佳
4. 登录后未扫描后续页面(需预先录制好所有要请求页面的序列)
5. 较适合手动测试(包括收费版)
6. 免费版功能较少
OWASP ZAP 免费 3 开源,操作简单 功能较弱
nikto 免费 2
Nessus 免费/收费 2 Web管理面板 不能扫描内网,卸载较麻烦
X-Ray 免费版、高级版、企业版 1 1. 可与Acunetix和Burp联动
2. 有代理模式
扫描不出有价值的信息
HCL AppScan 25万
永久授权加一年免费升级
试用版已停止申请
新版未知
阿里云漏洞扫描 60元/次,也可包月包年 不存在此问题 7 项目计划停止

公司开发项目所用的技术栈是

  1. PHP做后台、接口
  2. VUE/Uni-APP做H5/APP
  3. 服务部署使用Linux

综上,我选Burp Suite专业版,其它作为补充配合。

Leave a Comment

豫ICP备19001387号-1