安全工具OWASP、Burp Suite、Appscan对比( 二 ) _安全工具

文章插图

ZAP的爆破是在Fuzzer中实现，同样可对选定参数添加定制化的字典进行大量的攻击操作，并且Fuzzer中自带了许多漏洞的payload 。

文章插图

1.7 编码和解码
Burp Suite中Decoder页签可对报文内容进行编码和解码，支持多种加解密方式。

文章插图

ZAP中通过选中需要字段，然后右键选择编解码可对报文中内容记性编码、解码、哈希操作。

文章插图

以上是Burp Suite工具比较具有代表性的功能，并且Burp Suite和ZAP同样含有丰富的插件，并提供API，开发者可定制自己的程序。对于漏洞扫描，这三个工具都具备自动化的扫描功能，但是Burp Suite的扫描功能目前不如Appscan全面，因此接下来将主要对比下ZAP与Appscan的扫描功能情况。
2．OWASP ZAP与AppScan Standard
2.1 爬虫
Appscan中将爬虫操作称为"探索"，利用网页发送和返回的内容都是统一的语言 html，通过对 HTML 语言进行分析，找到里面的参数和链接，记录并继续发送之，进而对网站结构进行爬取。

文章插图

ZAP中支持两种爬虫方式，一个是传统的爬虫技术，另一种是ajax爬虫。ajax技术是通过JAVAScript来生成链接，ZAP的ajax爬虫通过唤起浏览器进程来探索Web应用，并且会追踪动态生成的链接。

文章插图

2.2 策略配置
Appscan支持全面的扫描配置，针对不同的扫描目标，可配置不同的扫描策略、测试策略。

文章插图

ZAP可根据情况自定义扫描策略，策略中包含报警阀值和攻击强度两个参数，且可以分别对信息收集、客户端浏览器、服务器安全、杂项、注入等多各方面分别进行配置。

文章插图

2.3 扫描
"扫描规则库"、"探索"、"测试"构成了AppScan的核心三要素。ZAP支持自动扫描和手动扫描两种测试方式，并提供Appscan（Web应用）和外部设备/客户机（Appscan作为记录代理）两种探索方式。

文章插图

ZAP支持主动扫描和被动扫描两种方式，可根据测试目标情况，选取相应的测试方式。被动扫描可对所有以代理形式接收到的请求和响应报文进行自动检测，它不会以任何形式改动任何反馈信息，可以提供一些基础的Web安全性信息。主动扫描提供自动扫描和手动扫描两种方式，会通过一些预设的攻击来达到发现更多漏洞的目的，对于被测目标而言，主动扫描会发起真实的、可能造成损失的攻击。

文章插图

下图为两个工具实时记录扫描进度和扫描内容。

文章插图

2.4 扫描结果查看
Appscan工具提供完备的漏洞详情，包括漏洞类型、数量、涉及的URL、在报文的具体位置、问题详情、修订建议等，可方便使用者确认漏洞是否真实存在。

文章插图

ZAP工具在alert（警报）页签展示漏洞详情。所有风险项可以展开，ZAP在右侧窗口会对该风险项提供说明和解释，并且在右上部response区域高亮展示具体风险项由来（从响应中分析得出的）。

文章插图
【安全工具OWASP、Burp Suite、Appscan对比】
2.5 重放
重放操作是确认漏洞是否报告有误的有效方式，Appscan可对检测的漏洞再次进行手动测试。

文章插图

ZAP基本具备和Appscan相同结构的重放功能，并且可对报文进行编辑。

文章插图

综上可看出，OWASP ZAP工具基本具备Burp Suite和Appscan的主要安全测试功能，但其自身也存在多处不足的地方，相比于Burp Suite，其抓包、改包等渗透测试功能上操作不如Burp Suite灵活多样；相对于Appscan，其扫描更为轻量，即操作便捷、扫描迅速，然而漏洞挖掘情况不如Appscan更深层，但这一点儿也不影响人们对它的青睐，OWASP ZAP基本可以满足安全测试所需的功能，并且作为一款免费的开源工具，对于学生党或者安全入门人员绝对是一个不错的选择。