Survey 了幾套了,我們選擇了這套CP值超高的產品: O-scan 網站弱點掃描產品
公司最近需要一套掃描網站安全性的軟體,Survey了幾套相關的產品後,最後決定了這套O-scan的企業版本,主要原因為:
它也有非商業版的產品,雖然使用上有所限制,但也相當足夠,十分推薦大家去下載使用,網址為 http://www.wesoft.info/。
使用相當容易,掃描完畢後的報表判讀反而比較累點,有問題可寫信去問他們,我從中學到不少東西。
大約介紹一下使用方式吧:
打開程式後,左邊為以下畫面,我們選擇第一個 [單網站掃描] 功能。
O-scan會顯示一個掃描引導設定精靈,第一步顯示如下畫面:
這畫面設定上應無太大問題,僅需注意到我標記處A的設定,該設定是因為有些網站有IDS/IPS或其它的防護機制,網頁回應時並不依據RFC文件的相關規定,所以在這情況下,我們必需正確的設定這欄位,以提高正確性。
設定完成後按下一步,顯示如下圖:
當我們掃描的起始頁面含有登入功能,有些頁面在登入後才有權限使用時,我們就可以使用此設定,執行登入程序再進行掃描,我們勾選 [啟用網頁驗証功能]->
[使用登入巨集]->[錄製巨集],錄製完巨集儲存即可,錄製巨集功能等有時間再向大家報告嘍。
都設定好就下一步嘍,畫面如下:
這裡O-scan會試著對主機進行基本資料的偵測,並顯示主機的OS, WebServer與是否自訂404錯誤頁面。
如果O-scan發現該網頁伺服器使用自訂的404錯誤,它就會讓我們進行自訂404頁面關鍵字設定,如下圖:
在這頁面我們要告訴O-scan自訂的404頁面為何,O-scan從我們設定的關鍵字串判斷是否為自訂的404頁面。對於熟悉 Regular Expression的朋友,也可以勾選正規表示式的選項,在關鍵字串中填入正規表示式語法。
設定好後下一步:
這裡不需任何設定,按下完成即可。需要注意的是,按下完成顯示掃描主畫面時,需要按下 [開始掃描] 鍵才會進行掃描,我第一次使用時沒注意到,好糗!
如下圖:
更多資訊請參考: http://www.wesoft.info/
有幾個疑問能否請大大回答:
1.台灣弱點掃描廠商最知名的莫過於中華龍網的DVM跟美麗島科技的formasaauditor,而且這二家都
有可供參考的客戶,唯獨這家沒有可供參考的客戶,為何大大還會推薦這家產品?!
2.大大在上面說"據該網站表示,該軟體掃描核心源自於某駭客團體內部使用的",但是小弟在該網站中
並未看到此一敍述,能否請大大告知是在那一頁呢?!
3.大大表示"風險弱點的判斷能力良好,誤判率較H牌, A牌低相當多",怎麼只有H牌跟A牌,據小弟向
友人詢問的結果,台灣還有美麗島科技的網站應用程式弱點掃描,Mcfee的Web Protection跟IBM
AppScan,能否請大大提供相關評比的結果呢?!
您好
網站弱點掃描應為HP WebInspect為領導者,我在survery時無意發現WeSoft的O-scan產品,
因為有免費版且完全無限期使用而下載測試,和HP的比較後覺得有免費又好的東西可用才推薦。
至於您提到的那兩家廠商,如果您了解就不會這樣說了,您可自行比較。
McFee與IBM的我不了解,所以無法回答您。謝謝.
是我的話我會推薦HP的WebInspect或是WeSoft的O-scan產品。