Showing posts with label Webinspect. Show all posts
Showing posts with label Webinspect. Show all posts

Friday, November 03, 2006

Comparison between Appscan vs Webinspect

Last month I got a chance to evaluate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two popular vulnerability assessment tools Webinspect and Appscan and I wanted to share my findings with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs. As you will notice, currently I have published only few technical comparison I will add more to it sooner. This comparison is strictly between Appscan 6.5 and Webinspect 6.2. Both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 companies have since come with a beta release of a new version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir products and this comparison may not be valid for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir new versions.
The evaluation was done on a dynamic web application with approx 1800 web pages.

  • Scan duration: On a website of approx. 1800 pages, Appscan took around 6 hours whereas webinspect took more cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n 12 hours (i had to stop it cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re as it would have taken a lot more time). Then i removed post-data injection from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list of attacks and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire scan was completed in approx 4 hours.

  • Ability to pause a scan: Both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools give you an ability to pause a scan and restart later.

  • Save a partial scan and restart later: Both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools allow you to save a partial scan and restart it later.

  • What if webapp stops responding during scan: If your webapp stops responding during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scan, Webinspect displays an error and pauses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scan, so you can fix cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem and resume cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scan later. Though appscan does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same but since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pause button is not on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 toolbar and is as a dropdown it get a little confusing.

  • Change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 middle of a scan session: While a scan is in progress, if you want to pause it and resume from your home over a vpn connection, Appscan lets you resume cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scan without any problems whereas Webinspect gave me an error. Though I just tried it once, I am not too sure if this is a problem with Webinspect. You can check it on your own if you're going to need this feature.

  • Maximum thread that can run simultaneously: Appscan has maximum of 10 threads whereas Webinspect has 75. You can customize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of threads you want to run simultaneously. However, if you use more cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n 15 threads in Webinspect, it becomes very resource intensive.

  • Pick and choose attacks for a scan session: Both Appscan and Webinspect lets you do that.

  • Skip an attack while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scan is in progress: Webinspect lets you skip an attack while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scan is in progress whereas Appscan doesn't.

  • View cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual attack during a scan session: Webinspect displays cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual attack string on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 status bar during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scan and also if a vulnerability was found whereas in Appscan you can only view if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was a vulnerability found.

  • Customize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 order of attack for a scan session: Neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 product lets you customize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 order of scan. So, if you want to run Cross site scripting and SQL injection first cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you will have to create a new scan session and just opt for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se two attacks and remove all ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list.

  • Custom attack scripts: Both Appscan and Webinspect lets you create a custom attack script as a macro. Webinspect however lets you create a custom attack agent using VB script.

  • Vulnerability Database updated: Both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 product update cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir vulnerabilities regularly.

  • Vulnerabilities: Appscan found more vulnerabilities with more variants in a scan as compared to Webinspect. One ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r difference between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two products in terms of vulnerabilities is if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are 200 pages with same vulnerabilities, Appscan will display 1 vulnerability but can drill down to all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 200 pages whereas Webinspect will display as 1. Having said that, Appscan still detects more types of vulnerabilities cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n Webinspect.

  • Login module at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 start of scan:Appscan lets you record a login sequence as a macro whereas Webinspect gives you more options. It lets you record a login sequence as a macro or enter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication credentials in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool itself. The problem however with entering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication credentials inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool is that if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are wrong, Webinspect does not detects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m as wrong and goes ahead with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scan and hence may not scan cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire site. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r scenario, if you are using macro to record cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 login sequence, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n Webinspect records cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 complete login and logout sequence whereas Appscan only records cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 login sequence.

  • Bookmark of follow up flag on a specific attack during a scan session: None of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools currently have this feature.

  • External tools: Both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 products have additional tools bundled with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Watchfire's power tools are not integrated with Appscan and can be downloaded and used separately. Appscan, however, provides a framework where external tools can be invoked from within Appscan. Webinspect on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand, have more tools and all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m are tightly integrated within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 product. Webinspect does not allows you to invoke an external tool from within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application.

  • Appscan scans for certain infrastructure vulnerabilities (like Apache, IIS, etc) whereas Webinspect does not.


This is by no means a complete report. I will add more points to it sooner so please check back again. Also, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is something additional you would like to see in this report or if you would like to add to this report or even make changes to this report, please email me at anurag.agarwal "at" yahoo.com. I also got a chance to look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beta release of Appscan 7.0 and Webinspect phoenix release and if you are looking to purchase one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se two products cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I would strongly recommend looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir beta releases of new versions.