关于黑盒,个人认为还是首先考虑是私用还是商用。
私用的话去找一些开源的工具就好,像OWASP ZAP、Arachni、Wfuzz、Nikto这几个都是免费开源的。
商用的话就比较特殊,需要考量的因素比较多(当然也比较贵),除了规则库、准确率、误报率、效率、稳定性以外,合规也是非常重要的因素(当了多年甲方运维狗已经被合规搞怕了/哈哈)。
商用给你推荐的话,当然是曾以 Watchfire AppScan 的名称享誉业界的AppScan,当年IBM收购了这条产品线以后更名为IBM Rational AppScan,可想而知,能被IBM看上的都不是省油的灯。之后,IBM的Web系统在上线之前,必须要通过公司的安全扫描,执行这个扫描任务的就是著名的Appscan。 这个软件能构造各种各样的输入, 模拟各种黑客的攻击,发现Web系统的各种漏洞: SQL注入,XSS,CSRF,Session Fixation等等, 非常强大,是Web系统安全探测好助手,后来还出了一个SaaS版。
直到2018年12月IBM的几大软件被HCL所收购,这让我挺震惊的,因为这些软件我很熟悉,有些还是经常使用的,其中一个就是 Appscan。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/179324.html原文链接:https://javaforall.net
