Survey 了幾套了，我們選擇了這套CP值超高的產品: O-scan 網站弱點掃描產品
公司最近需要一套掃描網站安全性的軟體，Survey了幾套相關的產品後，最後決定了這套O-scan的企業版本，主要原因為:

1. 掃描弱點完整，尤其對高風險弱點偵測的完整度佳
2. 全中文的軟體使用介面，使用起來順手許多
3. 全中文的弱點描述、弱點影響說明與解決方法
4. 產生的報表排版較為習慣，看起來較舒服
5. 可與自身的WAF整合
6. 最重要是價格啦!! 在弱點偵測相當的情況下，價格較類似產品可接受

它也有非商業版的產品，雖然使用上有所限制，但也相當足夠，十分推薦大家去下載使用，網址為 http://www.wesoft.info/。

使用相當容易，掃描完畢後的報表判讀反而比較累點，有問題可寫信去問他們，我從中學到不少東西。

大約介紹一下使用方式吧:

打開程式後，左邊為以下畫面，我們選擇第一個 [單網站掃描] 功能。

O-scan會顯示一個掃描引導設定精靈，第一步顯示如下畫面:

這畫面設定上應無太大問題，僅需注意到我標記處A的設定，該設定是因為有些網站有IDS/IPS或其它的防護機制，網頁回應時並不依據RFC文件的相關規定，所以在這情況下，我們必需正確的設定這欄位，以提高正確性。

設定完成後按下一步，顯示如下圖:

當我們掃描的起始頁面含有登入功能，有些頁面在登入後才有權限使用時，我們就可以使用此設定，執行登入程序再進行掃描，我們勾選 [啟用網頁驗証功能]->
[使用登入巨集]->[錄製巨集]，錄製完巨集儲存即可，錄製巨集功能等有時間再向大家報告嘍。

都設定好就下一步嘍，畫面如下:

這裡O-scan會試著對主機進行基本資料的偵測，並顯示主機的OS, WebServer與是否自訂404錯誤頁面。

如果O-scan發現該網頁伺服器使用自訂的404錯誤，它就會讓我們進行自訂404頁面關鍵字設定，如下圖:

在這頁面我們要告訴O-scan自訂的404頁面為何，O-scan從我們設定的關鍵字串判斷是否為自訂的404頁面。對於熟悉 Regular Expression的朋友，也可以勾選正規表示式的選項，在關鍵字串中填入正規表示式語法。

設定好後下一步:

這裡不需任何設定，按下完成即可。需要注意的是，按下完成顯示掃描主畫面時，需要按下 [開始掃描] 鍵才會進行掃描，我第一次使用時沒注意到，好糗!
如下圖:

更多資訊請參考: http://www.wesoft.info/