應用漏洞掃描工具要求具有針對Web應用和Web服務接口的黑盒漏洞掃描能力。能夠快速爬網，并有針對性的對網頁進行黑盒漏洞測試，同時對掃描到的漏洞，提供漏洞的描述、該漏洞緩解方法、漏洞驗證方法等信息。以便于快速定位應用漏洞，并根據提供的緩解辦法，盡快對漏洞進行修補。

主要功能指標

1、提供全面的漏洞規則庫，覆蓋WASC和OWASP兩大Web安全標準組織定義的主流的各種攻擊技術和手段，包括但不限于：Brute Force、Insufficient Authentication、Credential/Session Prediction、Insufficient Authorization、Insufficient Session Expiration、Session Fixation、Content Spoofing、Cross-site Scripting、Buffer Overflow、Format String Attack、LDAP Injection、OS Commanding、SQL Injection、SSI Injection、XPath Injection、Directory Indexing、Information Leakage、Path Traversal、Predictable Resource Location、Abuse of Functionality、Denial of Service、Insufficient Process Validation等攻擊技術和方法，其中，對于Cross Site Scripting，能夠檢測至少20種變種；對于SQL Injection，能夠檢測至少40種變種；

2、支持掃描規則庫的在線和手動升級、自定義規則，以及規則的導入和導出；

3、支持Web應用的技術，如JavaScript、HTTPS以及認證等，以便確保發現URL的完整性；

4、支持從Flash, PDF, Office等類型文檔中發現URL，并展開安全測試；

5、能夠測試順序業務邏輯，如新開帳戶和進行在線購買；

6、支持對Web service應用系統的安全漏洞掃描，并自帶Web Service服務發現工具；

7、支持常見的Web認證方式（表單、驗證碼、NTLM等）；

8、 支持HTML爬蟲和SSL；

9、支持用戶編輯報告，為開發和質量管理人員修復安全缺陷提供幫助，添加自定義注釋或詳細信息。

10、支持“玻璃盒”掃描技術，即不僅可以收到應用的掃描響應，也可監控Web服務器內部的響應；

11、支持適用于手機瀏覽器客戶端瀏覽的Web應用的漏洞掃描，至少可模擬如下類型的移動設備瀏覽器：Chrome、Opera、Safari、Google Android、Blackberry、IE 移動版。

關于蘇州華克斯信息科技有限公司

聯系方式：400-028-4008

                0512-62382981

專業的測試及安全產品服務提供商

Fortify | Webinspect | AppScan

SonarQube | WhiteSource

LoadRunner | UFT（QTP) | ALM（QC）

Micro Focus （原HPE）鉑金合作伙伴

SonarQube中國總代理

HCL中國合作伙伴

極狐GiLab中國鉑金合作伙伴