web应用安全测试工具有哪些类型 web应用安全测试工具有哪些功能

品牌型号:联想ThinkPad E14

系统:Windows 10家庭版

软件版本:AppScan

web应用安全测试工具是一种针对web应用程序是否存在安全漏洞进行测试的工具，web应用安全测试工具有哪些类型？web应用安全测试工具有很多类型，有些测试工具是以浏览器插件存在的，有些则是以客户端的形态存在。web应用安全测试工具有哪些功能？首先，web应用安全测试工具可以对站点进行测试，web应用安全测试工具在对站点测试完成后，会给出详细的漏洞解决方案。下面我们来看详细介绍吧！

一、web应用安全测试工具有哪些类型

这里我们将web应用安全测试工具分为两类，一类是浏览器插件；另一类是客户端。

1.浏览器插件

浏览器插件web应用安全测试工具相对客户端而言下载安装比较简单，但是浏览器插件在功能性上不如客户端的web应用安全测试工具，主要是可以测试的漏洞类型相对单一，如火狐浏览器中的Exploit-Me，它虽然能进行站点进行扫描，但仅能扫描两种漏洞类型，一种是XSS漏洞，另一种是SQL注入漏洞。

2.客户端

客户端的web应用安全测试工具则有非常多，我自己常用的有两款，分别是AppScan和Wapiti。

对比这两款web应用安全测试工具，我个人更推荐使用AppScan。因为，虽然Wapiti也可以像AppScan一样进行黑盒测试，但Wapiti在操作过程中需要输入命令才能进行，AppScan在配置完成后都是自动完成的。

总的来说，对于单一的安全漏洞，我们可以使用浏览器插件对站点进行扫描。如果是对站点中多项内容进行扫描测试，建议使用操作简单的AppScan。

二、web应用安全测试工具有哪些功能

这里我们以AppScan为例简单介绍web应用安全测试工具有哪些功能。

1.可测试的漏洞类型

在AppScan中，对web应用进行安全测试有两种途径，一种是【完全扫描】；另一种是【扫描web应用程序】，下面我们来看这两种扫描模式分别可以扫描哪些漏洞吧！

（1）扫描web应用程序

在【测试策略】界面中，我们可以直接选择【预定义策略】，这里的类型包括【侵入式】、【仅第三方】、【仅基础结构】、【仅应用程序】等等，直接选择即可使用。

在图3界面中单击左下角【完全扫描配置】，在此便可有针对性的选择安全漏洞的类型。

（2）完全扫描配置

在图4界面我们直接选择漏洞类型即可，如SQL注入、SSI注入等等，选择即可。

选择完安全漏洞类型后，我们便可对站点进行扫描，扫描结束后软件会给予扫描日志和漏洞修复方案。

2.修复方案

当扫描完成后，可以在AppScan中查看详细漏洞介绍，同时软件会给出详细的漏洞解决方案。

三、总结

以上便是，web应用安全测试工具有哪些类型，web应用安全测试工具有哪些功能的内容。关于web应用安全测试工具的类型这里我们介绍了两种，一种是浏览器插件；另一种是客户端。web应用安全测试工具的功能主要有两个，一是扫描漏洞；二是给出详细的漏洞解决方案。更多关于AppScan使用技巧，尽在AppScan中文网站！