a. 網頁爬蟲:評價WASS一個很重要的因素來自於連結分析能力,如是否支持從Javascript中提取連結,是否支持從flash檔案中提取連結,是否支持從複雜的ajax套用中提取連結等等。另外也包括標籤的事件,重定向請求等。至於認證和協定都是非常基礎的,缺少這些的我們甚至可以理解它壓根就不是一個WASS。
b. 安全測試:WASS是否有效的核心模組來自於漏洞的分析能力。支持的漏洞種類(SQL注入,跨站腳本,信息泄露等)是否齊全,是否能夠準確分析誤報(如自定義404頁面等),是否支持許可權測試等等。
c. 報表:對於採購WASS的用戶而言,一份漂亮的報表是必不可少的。是否包含漏洞描述,解決建議;是否滿足業界的安全標準(如OWASP TOP 10,薩班斯法案等,這些老外很看重);是針對開發者還是測試人員;是否支持PDF,HTML格式等等
d. 操作性:對於自動話工具而言,越少的操作達到越大的效果是很重要的,因此像掃描操作,暫停操作等是必須的;同時應當能夠及時顯示進度,查看已經發現的漏洞細節等。