我目前正在撰写一篇比较 Web 应用程序安全 (WAS) 测试工具的论文。我正在努力确定使用哪些指标进行比较。您能提供一些指标建议吗?
我正在寻求安全专业人士的意见,以提出合适的比较指标。
你不喜欢简单的问题,对吧;) 这确实是一件很难的事。 您可以专注于功能 - 工具实际支持的功能。这确实很容易,但它并不能告诉你它们实际上有多好。 最好的方法是针对现实世界的应用程序测试它们,最好是具有已知漏洞的应用程序。那会花费你很长时间。 您可以针对故意存在漏洞的应用程序对它们进行测试,但许多供应商会调整他们的工具以确保它们与这些应用程序配合良好。 创建自己的测试应用程序是一个不错的选择,但这也很困难且耗时。
我所知道的最好的尝试是https://github.com/sectooladdict/wavsep - 它已经很长时间没有更新了,我知道 Shay 在维护它时花了很多时间。 如果您愿意的话,我很高兴能讨论这个问题 - 我是 ZAP 项目负责人,所以我对这个领域有明确的兴趣:) https://www.zaproxy.org/docs/team/psiinon/