漏洞漏报率极高----web2.0后时代, 应用业务逻辑功能实现的复杂性或有复杂权限的验证场景, 传统扫描器的爬虫引擎对业务逻辑是无法绝大部分覆盖的, 造成大量漏报。
?...性能及效率----对于同一个漏洞类型的不同漏洞场景, 可能就需要多一条验证策略, 长期积累后, 大量冗余, 测试时间也不断增加, 造成扫描器性能及效率低下。...检测效率低下----对于大型的web应用,已经不再是几千上万行代码, 可能是几十或上百万行的代码, 无论是审计工具的运行效率还是漏洞的验证效率都是低下的。...漏洞准确性低----对于有安全处理的实现代码, 由于纯粹的白盒无法运行代码, 靠策略去确定一个漏洞是不准确的, 同样做了大量冗余的工作, 也降低效率。...从内测部分结果显示, 灰盒安全测试的综合效果已经远超传统黑盒及白盒代码审计工具, 特别在反射型XSS, 存储型XSS, 以及SQL注入等漏洞类型的检测表现更为优秀。