Acunetix 價格方案比較：授權費用、版本差異與企業採購成本分析

先說結論

Acunetix...嗯...它的價格是個謎。官網上你找不到標價，一律都是「聯絡我們取得報價」。 這點就先讓很多想評估的人卻步了。它的計價方式...主要是看你要掃描的「目標 (Targets)」數量。這個「目標」的定義有點繞，待會兒細說。基本上，目標越多，就越貴。

根據一些國外 marketplace 和用戶評論，最基本的方案大概是每年 7,000 美金起跳。 但這只是個參考數字，最終價格還是要看你的具體需求，像是用戶數、需要的功能等級、合約長度等等。 總之，它不便宜，採購前得想清楚。

另外，Acunetix 現在跟 Invicti (以前的 Netsparker) 是同一家母公司的產品。 Invicti 主打大型企業，功能更複雜；Acunetix 則定位在中小型市場，相對來說操作簡單一些。 但核心技術其實系出同源。 所以別把他們當成完全獨立的兩家公司看。

為什麼說它複雜？從計價單位「Target」開始

Acunetix 的授權核心，就是這個「Target」。但什麼是 Target？這不是一個簡單的問題，也是很多採購的痛點。

簡單說，一個 Target 通常指一個「完整網域名稱 (FQDN)」。 舉例來說：

• `www.example.com` 算 1 個 Target。
• `http` 或 `https`，以及不同的 port (例如 `:8080`)，只要 FQDN 相同，都算在同一個 Target 內。
• 同一個 FQDN 下的不同路徑 (例如 `www.example.com/blog`) 也算同一個 Target。
• **但是**，子網域 (subdomain) 就算是不同的 Target。例如 `www.example.com` 和 `api.example.com` 會被算成 2 個 Targets。

這就麻煩了。現在的網站架構，動不動就是一堆微服務、各種 API gateway，每個都有自己的子網域。這樣算下來，Target 數量很容易就爆表。所以採購前第一件事，就是請 IT 部門盤點清楚到底有多少個 FQDN 需要掃描。沒搞懂這點，報價單來了會嚇一跳。有用戶就抱怨過，這個 Target 的定義一直在變，而且一旦掃了某個 URL，它就永久鎖定在你的授權裡，彈性很差。

Standard、Premium、360...版本怎麼選？

Acunetix 主要分成 Standard、Premium 和 360 三個版本（或稱層級）。 他們的功能差異，直接決定了你的採購成本和適用場景。

這幾個版本的選擇...嗯...其實是在問你的團隊是怎麼工作的。

IAST 到底是什麼？真的需要嗎？

Premium 版的核心賣點就是 IAST (Interactive Application Security Testing)，透過 AcuSensor 技術實現。 傳統的 DAST 就像是從外面敲門、踹門，看哪裡不牢固，但不知道裡面長怎樣，所以有時會誤判。這叫黑箱測試。

IAST 則是派一個臥底 (AcuSensor agent) 進到屋子 (Server) 裡面。 當 DAST 在外面踹門時，這個臥底可以回報：「嘿，這面牆剛剛被踹的時候，裡面的鋼筋在第 5 節的地方晃了一下！」

這樣的好處很明顯：

• 極低的誤報率：內外結合，幾乎可以 100% xác định 某些漏洞，像 SQL Injection。
• 精準定位問題：能直接告訴開發者是哪個檔案、哪一行程式碼有問題，省去大量 debug 時間。
• 更好的覆蓋率：能發現一些 DAST 爬蟲爬不到的隱藏檔案或 API。

但它不是沒缺點。首先，你必須能在你的 Server 上安裝這個 agent，支援的語言主要是 PHP, .NET, Java, Node.js。 如果你的技術棧不符，那就沒用。再來，這也增加了部署的複雜度。所以，如果你的開發團隊還沒有準備好，或者沒有能力處理 agent 的安裝與維護，那為了 IAST 多花的錢可能就不值得。

企業採購不只看授權費：隱藏成本分析

只看 Acunetix 的報價單，很容易做出錯誤的決策。真正的總持有成本 (TCO) 遠不止那個授權費。這是我認為更重要的部分，也是銷售通常不會主動提的。

• 人員成本：誰來操作這個工具？誰來解讀報告？誰來追蹤修補進度？這些都需要人力。一個好的資安工程師不便宜。如果沒人能有效使用它，那買來就只是個昂貴的擺設。
• 修補成本：掃描器的工作是「找出問題」，而不是「解決問題」。報告出來後，開發團隊需要花時間去修補這些漏洞。這些開發者的工時，才是最大宗的隱藏成本。如果一份報告產生 100 個問題，團隊要花多久才能修完？
• 誤報處理成本：再好的工具都有誤報。 資安或開發團隊需要花時間去驗證每個漏洞是不是真的存在。如果團隊花了大半天，結果發現是誤報，那不只浪費時間，還會打擊團隊對工具的信任感。Premium 版的 IAST 就是想解決這個問題。
• 訓練與導入成本：工具買來，團隊需要時間學習。 尤其如果要導入 Premium/360 的 CI/CD 整合，需要調整開發流程，這不是一兩天的事。
• 台灣代理商的服務費？： 如果你不是直接跟國外原廠買，而是透過台灣的代理商，他們通常會提供技術支援、教育訓練、中文諮詢等服務。這些服務當然很好，但羊毛出在羊身上，這些成本通常會反映在最終的報價上。不過，對於不擅長跟國外原廠溝通、需要本地發票報帳的台灣企業來說，這筆錢可能是必要之惡。這點跟直接在官網填表詢價的模式很不一樣，後者雖然可能拿到「標價」，但後續的技術支援、時區問題就得自己處理。

所以，在評估 Acunetix 時，不能只問「軟體多少錢」，而要問「為了讓這個軟體發揮價值，我們公司總共要投入多少資源」。

Acunetix 的限制與採購前的思考點

它不是萬靈丹。身為一個 DAST 工具，它天生就有一些限制。

第一，它主要針對已知的漏洞類型進行掃描，比如 OWASP Top 10 那些。 對於那種跟商業邏輯高度相關的漏洞，例如「A 用戶居然可以透過某個操作，買到 B 用戶購物車裡的商品」，這種邏輯漏洞，自動化工具很難發現。這還是得靠人工滲透測試。

第二，掃描品質很吃重「設定」。例如，對於需要複雜登入流程 (像 SSO 或兩步驟驗證) 的網站，如果沒設定好，掃描器可能連登入都過不去，那後面頁面的掃描就都是白搭。雖然它有提供錄製登入腳本的功能，但設定起來還是需要經驗。

第三，授權模式缺乏彈性。 就像前面提到的，以 Target 數量計價，而且綁定 FQDN，對於快速變動的雲端環境來說，非常不友善。有些新創公司可能今天開了 10 個測試站台，明天就刪了 8 個，這種模式下授權管理會很頭痛。

反例與誤解釐清

最後，釐清幾個常見的誤解。

• 誤解一：「買了掃描器，網站就安全了。」

  錯。掃描器只是一個「溫度計」，告訴你發燒了沒。它不能治病。真正的治療，是開發團隊去修補程式碼。如果買了工具，掃出滿江紅的報告，但沒人去修，那跟沒買一樣。

• 誤解二：「Premium 的 IAST 是唯一的灰箱測試方案。」

  不完全是。IAST 的確是 DAST+SAST 的混合體，也被稱為灰箱測試。 但市面上還有很多其他品牌的 IAST 工具，Acunetix 的 AcuSensor 只是其中一種實現方式。它的優點是跟自家 DAST 整合度高，缺點是被綁定在 Acunetix 生態系裡。

• 誤解三：「報告上的所有 High 風險漏洞都要馬上修。」

  不一定。工具給的風險等級是基於技術上的嚴重性。 但對公司來說，真正的風險要考慮「商業衝擊」。一個存在於沒什麼人用的內部系統上的 SQL Injection，其優先級可能低於一個在金流主頁上的中風險 XSS 漏洞。所以，拿到報告後，還需要資安團隊根據業務情境做一次風險排序 (Triage)，而不是照單全收。

總的來說，Acunetix 是個強大的工具，但也很昂貴、複雜。把它當成一個需要專業駕駛員的 F1 賽車，而不是人人都能開的自駕車。買它之前，先想想公司裡有沒有合格的賽車手和後勤團隊。