AppScan和AWVS业界知名的Web漏洞扫描工具，你是否也好奇到底哪一个能力更胜一筹呢？接下来跟随博主一探究竟吧。

1. 方案概览

• 第一步：安装一个用于评测的Web漏洞靶场（本文采用最知名和最广泛使用的靶场，即OWASP Benchmark）；
• 第二步：分别使用两款工具对靶场进行漏洞扫描，扫描参数尽量保持一致；
• 第三步：从多维度对比分析扫描过程和扫描结果；

两者的扫描报告概览如下：

2. 具体实施

2.1. 环境信息

本次测评所用的基础环境和工具版本信息如下：

• 操作系统 Windows 10
• OWASP benchmark V1.2
• AppScan 10.0.8
• AWVS 15.0.221007170

若对以下评测过程感兴趣，可以动手实操，所需要的基础环境和工具安装配置指导可以参阅博主前期文章：

• OWASP Benchmark | OWASP 基准项目镜像方式安装、配置及如何生成SAST和DAST工具的评分报告
• 安全工具 | AWVS漏洞扫描工具安装、使用技巧及注意事项（附工具下载链接）
• 安全工具 | AppScan漏洞扫描工具标准版免费安装、配置及使用指导（附工具下载链接）

2.2. 测试步骤

2.2.1. 启动靶场项目OWASP Benchmark

启动OWASP Benchmark项目，项目启动成功后可以通过URL访问靶场，本例中启动靶场地址为https://local:8443/benchmark/：

2.2.2. AWVS扫描

1、在AWVS上创建扫描任务，参数配置如下：

• 扫描策略：Full Scan，即全量扫描；
• 扫描速度：Fast，即AWVS的最快速度扫描
• 其他参数默认

2、按以上配置执行扫描，扫描完成后可以界面上看到扫描结果。

3、进入报告详情界面查看并下载报告

2.2.3. AppScan扫描

1、打开AppScan客户端，创建扫描任务，参数配置如下：

• 扫描策略：Full Scan，即全量扫描；
• 扫描速度：Fast，即快速度扫描
• 其他参数默认

2、启动AppScan扫描任务，可以看到CPU直接爆满

整个扫描过程比较漫长，需要耐心等待

3、扫描完成后查看并下载报告

2.3. 报告对比分析

完成以上两款工具对同一靶场的扫描后我们可以得到如下扫描报告：

• AppScan OWASP benchmark扫描报告.pdf (访问密码: 6277)
• AWVS OWASP benchmark扫描报告.pdf (访问密码: 6277)

接下来我们按以下维度进行简单对比:

对比项	AWVS	AppScan	备注
扫描耗时	140min	533min	AppScan耗时久主要有两个原因：1、AppScan扫描规则极多；2、以上扫描参数配置的扫描速度并非是AppScan的最快速度
扫描请求个数	20万+个	100万+个	从AppScan发送的请求数超百万个，也可以简单说明AppScan规则数量极多
发现问题数	210个，其中有202个是高危漏洞	9000+个，其中972个高危漏洞	两者发现的问题根本不在一个量级

由于扫描报告涉及到的漏洞较多，高达上千个，博主暂时未来得及将扫描的问题进行分类比较，接下来有时间会将两者的扫描报告与OWASP Benchmark 的基准漏洞做次对比，用于评测两款工具针对Benchmark漏洞靶场的误报率和漏报率。

注：如果有感兴趣的读者可以基于上面两份扫描报告自行分析，希望能够将分析结果留言分享大家互相学习。

2.4. 总结

AppScan有业界最强悍的规则库，AppScan的规则库内置了超过1.2万个测试用例，测试用例最全，所以AppScan扫描的问题更多，扫描时长也较久；AWVS扫描SQL 注入和跨站脚本的能力较专，误报相对较低，扫描时长较短。建议企业在日常测试流程中使用AWVS，在针对重点或高风险版本使用AppScan进行查漏补缺。

3.0 更多对比

上面章节仅介绍了AppScan与AWVS的简单使用对比，如果企业/组织想选型一款合适的Web漏洞扫描工具，可以参阅博主总结的功能详细对比清单，希望能让你在选型时不再纠结。大家对工具选型纠结的原因无非就是对工具的功能和使用体验了解不全面，毕竟这些事情博主已经帮助大家提前摸索过了。

注：以上对比项仅供参考，由于工具版本更新或服务条款变化，对比项可能会同步变更。毕竟博主精力有限，如果错误之处，欢迎大家留言讨论~

若需要以上对比项的Excel原件，可以关注博文下方『筑梦之月』微信公众号，并回复关键词 “20240707” 获取。

---