应用漏洞扫描工具要求具有针对Web应用和Web服务接口的黑盒漏洞扫描能力。能够快速爬网，并有针对性的对网页进行黑盒漏洞测试，同时对扫描到的漏洞，提供漏洞的描述、该漏洞缓解方法、漏洞验证方法等信息。以便于快速定位应用漏洞，并根据提供的缓解办法，尽快对漏洞进行修补。

主要功能指标

1、提供全面的漏洞规则库，覆盖WASC和OWASP两大Web安全标准组织定义的主流的各种攻击技术和手段，包括但不限于：Brute Force、Insufficient Authentication、Credential/Session Prediction、Insufficient Authorization、Insufficient Session Expiration、Session Fixation、Content Spoofing、Cross-site Scripting、Buffer Overflow、Format String Attack、LDAP Injection、OS Commanding、SQL Injection、SSI Injection、XPath Injection、Directory Indexing、Information Leakage、Path Traversal、Predictable Resource Location、Abuse of Functionality、Denial of Service、Insufficient Process Validation等攻击技术和方法，其中，对于Cross Site Scripting，能够检测至少20种变种；对于SQL Injection，能够检测至少40种变种；

2、支持扫描规则库的在线和手动升级、自定义规则，以及规则的导入和导出；

3、支持Web应用的技术，如JavaScript、HTTPS以及认证等，以便确保发现URL的完整性；

4、支持从Flash, PDF, Office等类型文档中发现URL，并展开安全测试；

5、能够测试顺序业务逻辑，如新开帐户和进行在线购买；

6、支持对Web service应用系统的安全漏洞扫描，并自带Web Service服7、支持常见的Web认证方式（表单、验证码、NTLM等）；

7、 支持HTML爬虫和SSL；

8、支持用户编辑报告，为开发和质量管理人员修复安全缺陷提供帮助，添加自定义注释或详细信息。

9、支持“玻璃盒”扫描技术，即不仅可以收到应用的扫描响应，也可监控Web服务器内部的响应；

10、支持适用于手机浏览器客户端浏览的Web应用的漏洞扫描，至少可模拟如下类型的移动设备浏览器：Chrome、Opera、Safari、Google Android、Blackberry、IE 移动版。