Saiu uma das mais comentadas e controversas análises de scanners focadas em testes de segurança de aplicações Web, é o The 2012 Web Application Scanner Benchmark .

Os scanners comerciais ou aplicações comerceias analisadas neste ano foram:

  •   IBM AppScan v8.5.0.1, Build 42-SR1434 (IBM)
  •      WebInspect v9.20.277.0, SecureBase 4.08.00 (HP)
  •      Netsparker v2.1.0, Build 45 (Mavituna Security)
  •      Acunetix WVS v8.0, Build 20120613 (Acunetix)
  •      Syhunt Dynamic (SandcatPro) v4.5.0.0/1 (Syhunt)
  •      Burp Suite v1.4.10 (Portswigger)
  •      ParosPro v1.9.12 (Milescan– WIVET / Other
  •      JSky v3.5.1-905 (NoSec) – WIVET / Other
  •      WebCruiser v2.5.1 EE (Janus Security)
  •      Nessus v5.0.1 – 20120701 (Tenable Network Security) – Web Scanning Features
  •      Ammonite v1.2 (RyscCorp)

E abaixo segue a lista dos scanners opensources focados em testes de segurança Web analisados:

The following new free & open source scanners were included in the benchmark:
IronWASP v0.9.1.0

The updated versions of the following free & open source scanners were re-tested in the benchmark:
Zed Attack Proxy (ZAP) v1.4.0.1, sqlmap v1.0-Jul-5-2012 (Github), W3AF 1.2-rev509 (SVN),Acunetix Free Edition v8.0-20120509, Safe3WVS v10.1 FE (Safe3 Network Center) WebSecurifyv0.9 (free edition – the new commercial version was not tested), Syhunt Mini (Sandcat Mini)v4.4.3.0, arachni v0.4.0.3, Skipfish 2.07b, N-Stalker 2012 Free Edition v7.1.1.121 (N-Stalker),Watobo v0.9.8-rev724 (a few new WATOBO 0.9.9 pre versions were released a few days before the publication of the benchmark, but I didn’t managed to test them in time)

Different aspects of the following free & open source scanners were tested in the benchmark:
VEGA 1.0 beta (Subgraph), Netsparker Community Edition v1.7.2.13, Andiparos v1.0.6,ProxyStrike v2.2, Wapiti v2.2.1, Paros Proxy v3.2.13, Grendel Scan v1.0

The results were compared to those of unmaintained scanners tested in previous benchmarks:
PowerFuzzer v1.0, Oedipus v1.8.1 (v1.8.3 is around somewhere), Scrawler v1.0, WebCruiserv2.4.2 FE (corrections), Sandcat Free Edition v4.0.0.1, JSKY Free Edition v1.0.0, N-Stalker 2009 Free Edition v7.0.0.223, UWSS (Uber Web Security Scanner) v0.0.2, Grabber v0.1, WebScarabv20100820, Mini MySqlat0r v0.5, WSTool v0.14001, crawlfish v0.92, Gamja v1.6, iScan v0.1,LoverBoy v1.0, DSSS (Damn Simple SQLi Scanner) v0.1h, openAcunetix v0.1, ScreamingCSSv1.02, Secubat v0.5, SQID (SQL Injection Digger) v0.3, SQLiX v1.0, VulnDetector v0.0.2, Web Injection Scanner  (WIS) v0.4, Xcobra v0.2, XSSploit v0.5, XSSS v0.40, Priamos v1.0, XSServ1.5-1 (version 1.6 was released but I didn’t manage to test it), aidSQL 02062011 (a newer revision exists in the SVN but was not officially released)
For a full list of commercial & open source tools that were not tested in this benchmark, refer to the appendix.

Foram realizadas dezenas de testes seguindo uma série de critérios que foram muito bem explicados. Acho que os resultados demonstraram quais são as melhores ferramentas para se executar um determinado teste de segurança e isso ficou claro para quem leu o artico.

Há um ranking disponível na seguinte URL quanto ao teste de The Path Traversal / Local File Inclusion Detection Accuracy of Web Application Scanners – -vale a pena dar uma olhada..