Всем привет! Когда под Win7, обычно, для детального исследования использую Acunetix 10. Намедни нашел Netsparker 4.0.1, стал сравнивать. Ощущения возникли такие: - Netsparker работает ГОРАЗДО дольше; - Netsparker имеет меньше инструментов (хотя это и излишество в Акунетиксе). С другой стороны, на одних и тех же сайтах Netsparker нашел, в среднем, процентов на 20 больше уязвимостей. Кто сравнивал этих монстров, какие впечатления?
Добрый день! Да, w3af отработал быстро, найдя на тестовых жертвах по паре XSS, когда там по десятку SQLi еще есть, которые находят сабжи (все виды SQL в w3af были выставлены). Думаю, если в w3af выставить полный crawling, то, конечно найдет, только вот время будет сопоставимо с Netsparker и Acunetix. Хотелось бы еще свежий Xspider опробовать, но в сети одно старье.
Еще бы посоветовал инструмент Vega из нового набора утилит kali linux http://tools.kali.org/web-applications/vega
Acunetix не плох,но у меня порой зависает и нагружает ЦП . Бывает выдаёт ошибочные уязвимости,либо уязвимости которые таковыми не являются . NetSparker работает нормально,но по сути находит большинство ненужного,или также находит "Не уязвимости" .
У netsparker - прикольная фитча по заливки шела есть ))) А Acunetix - как по мне - то он ооооооочень долгий. (ИМХО)
Нету лучшего сканера все в одном. Есть лучшие для какой-то определенной уязвимости где-то БУРП выиграет и акунетикс и IBM App scan ну и т.д Смотрите сравнительный тест 2014 и делайте выводыв какой ситуации что использовать http://sectooladdict.blogspot.com/2014/02/wavsep-web-application-scanner.html
Спасибо, сравню, отпишусь! Да, когда ккк файлов при deep crawling, бывает, то ли виснет, то ли уходит в задумчивость на несколько дней, не знаю, не хватало терпения)) И время от времени ошибочные результаты типа ...сайт/'? - выдает как самую ужасную SQLi, причем именно в таком порядке - апостроф, вопрос)). В общем, по-мне, так он по-прежнему быстрее и удобнее, чем Netsparker, но по-меньше находит. Зато, иногда выдает такое, о чем приходится чуть ли в листингах скриптов вычитывать.
Честно говоря, удивлен. При такой-то скорости (на тестовых сайтах заняло минут по пять), на полных настройках (проверять все) выдал следующее: - все сайты на одном IP; - примерно 80-90% Sqli и XSS от Акунетикса и Нетспаркера, что, несомненно, круто за такое время; - неведомые МНЕ вещи)) типа "Page fingerprint differential" и все такое... Огромный плюс Вам))
