最近对几款安全扫描测试工具做了个简单的对比,评分及优缺点基于个人所用的技术栈,另因测试不充分,加上本人在安全测评领域纯属菜鸟,所以结果仅供参考。
| 工具 | 收费 | 多平台 | 扫描能力 | 优点 | 缺点 |
|---|---|---|---|---|---|
| Acunetix | $4500起 试用须人工审核 15天试用期 |
是 | 6 | 1. Web管理面板 2. API集成 3. 端口扫描(弱) 4. 报表功能 5. 持续扫描,问题跟踪 6. WAF集成 7. 可录制登录序列 8. 支持VUE项目登录并扫描后续页面 9. 爬虫能力强 |
1. 无问题的请求日志不详 2. 几乎无交互 3. Web管理面板BUG多 4. 不能手动停止服务 |
| Burp Suite | 免费版 专业版$399一年 试用申请自动通过 30天试用期 须用非公共邮箱 |
是 | 5 | 1. 可录制登录序列 2. 交互式的代理模式 3. Intruder功能较多 4. 请求日志功能强大 5. 请求日志有多项操作 |
1. 爬虫较弱 2. 重复链接不过滤 3. VUE项目支持不佳 4. 登录后未扫描后续页面(需预先录制好所有要请求页面的序列) 5. 较适合手动测试(包括收费版) 6. 免费版功能较少 |
| OWASP ZAP | 免费 | 是 | 3 | 开源,操作简单 | 功能较弱 |
| nikto | 免费 | 是 | 2 | ||
| Nessus | 免费/收费 | 是 | 2 | Web管理面板 | 不能扫描内网,卸载较麻烦 |
| X-Ray | 免费版、高级版、企业版 | 是 | 1 | 1. 可与Acunetix和Burp联动 2. 有代理模式 |
扫描不出有价值的信息 |
| HCL AppScan | 25万 永久授权加一年免费升级 试用版已停止申请 |
是 | 新版未知 | ||
| 阿里云漏洞扫描 | 60元/次,也可包月包年 | 不存在此问题 | 7 | 项目计划停止 |
公司开发项目所用的技术栈是
- PHP做后台、接口
- VUE/Uni-APP做H5/APP
- 服务部署使用Linux
综上,我选Burp Suite专业版,其它作为补充配合。