基于API的Web漏洞扫描器

Question

我想要自动化的网页漏洞扫描和生成一个HTML/PDF报告。

是否有提供扫描和报告API的WVS？如果是的话，有哪些例子？

Answer 1

你的问题最好由应用程序漏洞扫描评估项目(WAVSEP)来回答。看一看"3.3对SSDLC集成特性的支持“一章。

关于自动化，根据您所追求的自动化类型，您最感兴趣的类别如下：

持续集成支持(BDD) -通过外部持续集成/构建管理软件(如Jenkins )支持基于CLI/API/插件的扫描。对预定扫描的事实上的外部支持。Selenium Import/Integration (TDD) -导入爬行结果或以其他方式集成selenium扫描脚本。定期/定期扫描-内置计划扫描(也可以通过CLI/API/plugins继续集成支持)

将结果导出为HTML/PDF是一个非常常见的特性。基准数据中甚至没有明确提到这一点。我对商业基准工具进行了快速检查，发现了以下内容：

• AppSpider: HTML
• Burp Suite: HTML，XML
• PDF，HTML，RAW，RTF，TXT，XLS
• AppScan: HTML
• Acunetix: HTML，PDF
• Netsparker: HTML，PDF
• WebCruiser:没有找到任何信息

几乎所有的商业工具都支持HTML和/或PDF报告。它将类似于开放源码工具，但我将这个练习留给您。