WASS全称是Web Application Security Scanner，中文翻译即是Web应用安全扫描器。说白一点就是Web漏洞扫描软件，国外的产品有IBM Appscan、HP WebInspect、Acunetix Web Security Scanner等；国内的产品有JSky、Iiscan、Matrixy、WebRavor等。WASS也是逐步升温，厂家也是越来越多。

a. 网页爬虫：评价WASS一个很重要的因素来自于链接分析能力，如是否支持从Javascript中提取链接，是否支持从flash文件中提取链接，是否支持从复杂的ajax应用中提取链接等等。另外也包括标签的事件，重定向请求等。至于认证和协议都是非常基础的，缺少这些的我们甚至可以理解它压根就不是一个WASS。

b. 安全测试：WASS是否有效的核心模块来自于漏洞的分析能力。支持的漏洞种类（SQL注入，跨站脚本，信息泄露等）是否齐全，是否能够准确分析误报（如自定义404页面等），是否支持权限测试等等。

c. 报表：对于采购WASS的用户而言，一份漂亮的报表是必不可少的。是否包含漏洞描述，解决建议；是否满足业界的安全标准（如OWASP TOP 10,萨班斯法案等，这些老外很看重）；是针对开发者还是测试人员；是否支持PDF,HTML格式等等

d. 操作性：对于自动话工具而言，越少的操作达到越大的效果是很重要的，因此像扫描操作，暂停操作等是必须的；同时应当能够及时显示进度，查看已经发现的漏洞细节等。