網站掃描軟體分享(WeSoft O-scan / HP WebInspect / Acunetix WVS)

HP WebInspect 產品為網站弱點掃描的翹楚，但價格高的驚人，動輒百萬元起跳，本篇文章和大家分享的是

以低價的WeSoft O-scan與Acunetix WVS來和它比較，比較其不同。

參考網頁

WeSoft O-scan

HP WebInspect

Acunetix WVS

給懶人先看結果(其實字也不多)，WeSoft O-scan 表現超乎預期:

比較產品版本

WeSoft O-scan 2014

HP WebInspect 9.2

Acunetix WVS 8.0

比較重點

1. 高風險的弱點數

2. 報表的易讀性

3. 整體使用情形

對一般的人來說，比較重視的點應該如上三點，但第三點的整體使用情形，會大致說明一下各產品的其它差別。

比較方式

我自行用VM架了一個Linux + Apache的測試網站，寫了幾個很簡單的PHP網頁放進去，分別使用各產品去掃描，

觀看其掃描弱點數與產出報告。

我的網站畫面如下，為一個單純的連結，連結到各個有弱點的網頁:

各產品的介面與掃描結果

WeSoft O-scan

HP WebInspect

Acunetix WVS

各產品比較總結

高風險的弱點數

高風險數差異很多，HP WebInspect 高風險數最低，這點到是另我訝異，它和Acunetix WVS的差別看來是由於

Acunetix WVS有加入一些非應用層的弱點導致，那為何WeSoft O-scan高風險數那麼多呢? 我看了一下也沒有誤

判情形，猜測應為WeSoft O-scan的檢測會全部跑完一次，所以花的時間也稍為多了點。

報表的易讀性

給WeSoft O-scan比較好的原因是它全中文化報表，我自認英文閱讀不算差，但英文畢竟還是沒有自己母語中文

來的習慣，並且WeSoft O-scan的報表排版比較清新不擁擠，看起來比其它兩個來的舒服。

報表方面還有未顯現出的是報表的多樣性，最多樣、最多自訂功能的是HP WebInspect，我想HP WebInspect 貴

應該就是貴在報表比其它兩家多樣化。

整體使用情形

使用起來功能最多最複雜的當然就屬HP WebInsption莫屬，可自訂的選項很多，但不見得適合一般使用者，使用

起來最上手的即為WeSoft O-scan了，重點還是中文化完全，且自訂功能較少，掃描步驟不超過3步即可進行。

最後採購建議為:

1. 如果預算足購(有上百萬)，又是國際大型企業，需要一些國際法規遵循報表，英文不是問題的話，建議採購HP

WebInspect

2. 如果預算只有幾十萬元，則在WeSoft O-scan與Acunetix WVS擇一採購，我個人偏好採購WeSoft O-scan，原因在於

全中文化(包含介面、弱點描述、弱點影響與弱點報告)，弱點掃描核心穩定且高風險數多，WeSoft O-scan標準版價

格又較Acunetix WVS低，對於預算有限的企業來說，也是很大的福音。

3. 如果有自行架設mod_security的企業，可選擇採購O-scan，它可以將掃描的弱點匯出成mod_security的設定檔，減少

您撰寫mod_security設定檔的工作。

總結-產品比較表