第 1 步 – 选择一个使测试变得容易的 Web 应用程序

选择存在已知问题的应用程序

在具有已知攻击面和漏洞的现代环境中测试扫描仪非常重要。

在理想的情况下，您可以针对您自己的应用程序之一来测试扫描仪。

不幸的是，许多人不愿意扫描公司的生产站点之一，或者不确信自己了解自己站点上存在的完整攻击面或安全问题。此外，现代 Web 应用程序的性质意味着测试它的人可能还不知道新的安全漏洞。

PortSwigger 的 Gin & Juice Shop 为您提供了其包含的漏洞列表。

使用“扫描我”网站快速、客观地进行测试

定义： scan-me 站点是一个故意存在漏洞的 Web 应用程序，旨在评估 Web 漏洞扫描程序。

Scan-me 站点提供了一个任何人都可以扫描的具有已知安全问题的环境，从而更容易客观地测试 Web 漏洞扫描器的性能。

一个好的“扫描我”网站将有一份记录的安全问题列表，并详细说明 Web 应用程序上的 URL 或可利用的“攻击面”。

此外，一个好的“扫描我”应用程序将包含您希望在自己的 Web 应用程序中找到的相同技术组件。这可能包括某些难以扫描的单页应用程序框架，例如 React 或 Angular 以及身份验证机制。

OWASP 生成易受攻击的 Web 应用程序列表- 包括“技术”字段，告诉您特定的“扫描我”网站使用哪些技术。我们建议您考虑多个具有对您来说很重要的特征的“扫描我”网站。

请注意，某些“扫描我”网站相当陈旧且缺乏维护，这意味着它们可能不再代表您投资组合中的现代 Web 应用程序。

第 3 步 – 确定扫描仪的性能

在电子表格中列出每个应用程序的安全问题

此任务的难度取决于您选择用于测试的“扫描我”应用程序。

有些（例如 PortSwigger 的 Gin & Juice Shop）为您提供了它们包含的漏洞列表。其他扫描我网站不会告诉您应该找到什么。

如果您计划针对公司自己的 Web 应用程序测试扫描仪，列出安全问题甚至可能需要运行渗透测试来了解存在哪些问题 – 这可能是一项昂贵且耗时的工作。

突出显示对您重要的安全问题

如果您只是想比较两台扫描仪的功能，那么您可以跳过此步骤。但是，如果您正在寻找符合公司安全策略的扫描器，或者想查看网络漏洞扫描器是否能够检测到特定的安全问题，那么此步骤将很重要。

要执行此步骤，您需要一份对您的组织特别重要的安全问题列表。

这可能取决于您在 Web 应用程序中及其周围使用的技术类型，并且需要一定程度的技术知识。如果您不确定，请咨询您的安全/应用安全团队。

检查每个扫描仪发现的安全问题

在理想的世界中，这将是一项简单的任务。然而实际上，这需要一些判断——因为不同的供应商经常用不同的名称来称呼安全问题。

您通常可以通过查看安全问题的 CWE（常见弱点枚举）来解决此问题。 PortSwigger为 Burp Scanner 发现的安全问题提供 CWE（如果可用）。

比较结果

比较 Web 漏洞扫描器性能的实用且优秀的起点是回答以下问题：“它是否找到了目标应用程序中已知存在的所有安全问题？”。

这些是你真正的积极因素。

您还应该计算误报的数量，或者您选择的扫描仪报告的目标站点上实际不存在的安全问题的数量。

过多的误报导致网络漏洞扫描程序的用户花费时间和金钱来调查问题。

得出您的结论 – 哪种网络漏洞扫描器表现更好？

如果您使用不同的 Web 漏洞扫描程序完成上述步骤，我们希望您发现它们的性能差异很大。

为了结束您的评估并确定哪个 Web 漏洞扫描程序在您的测试中表现更好，您应该回答以下问题：

• 真正的肯定： Web 漏洞扫描程序是否发现了我的目标应用程序中存在的所有已知安全问题？
• 误报：产品是否报告了太多误报或我的网站上实际不存在的安全问题？
• 关键问题和安全策略：产品是否检测到我网站上的所有关键安全问题和/或我的公司希望在其产品组合中检测的问题？
• 可用性和可访问性：扫描是否易于设置和运行？是否为不同的开箱即用扫描配置提供了选项？
• 速度：扫描完成的速度有多快？是否提供了快速和深度扫描的选项？
• 身份验证和单页应用程序爬行： Web 漏洞扫描程序是否处理我的 Web 应用程序中使用的技术，包括通过身份验证导航和爬行 JavaScript 密集型单页应用程序 (SPA) 的能力？
• 技术支持：该产品是否具有对您的组织重要的其他功能，例如集成、报告、单点登录、技术支持等？
• 成本：正如网络漏洞扫描器的性能差异很大一样，产品的成本也有很大差异。一分钱一分货……但许多商业网络漏洞扫描仪以其过高的价格而闻名。