漏洞漏报率极高----web2.0后时代, 应用业务逻辑功能实现的复杂性或有复杂权限的验证场景, 传统扫描器的爬虫引擎对业务逻辑是无法绝大部分覆盖的, 造成大量漏报。
?...检测效率低下----对于大型的web应用,已经不再是几千上万行代码, 可能是几十或上百万行的代码, 无论是审计工具的运行效率还是漏洞的验证效率都是低下的。...漏洞准确性低----对于有安全处理的实现代码, 由于纯粹的白盒无法运行代码, 靠策略去确定一个漏洞是不准确的, 同样做了大量冗余的工作, 也降低效率。...以灰盒为主的web安全测试新趋势
目前国外, 如:惠普及IBM等公司已经开始实现灰盒安全测试,国内尚未出现此类产品或工具。它表现出, 高效率的测试吧; 业务逻辑覆盖率高; 漏洞准确性极高等。
?...检测结果准确性极高,至少可以从外部参数污染关键函数, 造成安全问题及安全漏洞。灰盒测试工具在实现上, 可以让测试效率更高, 符合复杂应用的安全测试需求。