Acunetix Web Vulnerability Scanner——一款网站及服务器漏洞扫描软件
介绍
多达70%的网站有漏洞,可能会导致企业的敏感数据被盗,如信用卡信息和客户名单。
黑客们正将其精力集中在基于web的应用程序上——购物车、表格、登录页面、动态内容,等等。
不安全的 web 应用程序,为黑客们可以全天候的访问世界各地的企业的数据库提供了便利并允许黑客使用受攻击。受害者的网站可以被用于启动犯罪活动,例如:托管网络钓鱼网站或者转移非法内容,进而滥用该网站的带宽,使得它的所有者承担这些非法行为。
防火墙、SSL 和锁定的服务器无法抵御针对 web 应用程序的黑客攻击来自于 80/443 端口的 对web 应用程序攻击,直接穿过防火墙,通过操作系统和网络级安全,并且正中您应用程序和企业数据的要害。定制的 web 应用程序通常未经过充分测试,含有未检测出的漏洞,因此容易成为黑客的猎物。
Web应用程序的攻击,推出了在端口80/443,就可以直接通过防火墙,过去的操作系统和网络级别的安全,并对核心的应用程序和企业数据。特制的web应用程序通常都是充分检查,存在的漏洞,因此沦为猎物黑客。
找出你的网站是安全的之前,黑客下载敏感数据,犯罪活动使用您的web站点为一个发射场,并危及你的业务。Acunetix Web漏洞扫描器抓取你的Web站点,自动分析您的web应用程序和发现危险的SQL注入,跨站点脚本和其他漏洞暴露你的在线业务。简明的报告确定web应用程序的需要固定,从而使您能够保护你的业务从即将到来的黑客攻击!
更新特性
1、登录保护页面的自动扫描。一个网站最有可能被攻击和容易受到攻击的区域往往是那些需要用户登录的区域。 因此对的Acunetix最新版本现在可以自动地和轻松浏览复杂的验证区域,不再需要经常需要手动干预。 这包括可以扫描使用单点登录(SSO)和基于OAuth认证的Web应用程序。
2、检测WP核心和WP插件的漏洞。 可以检测超过1200个WordPress 核心和插件的漏洞,目前全球市场上没有其他扫描器可以检测这么多的WordPress漏洞。WordPress网站已经超过了7400万,在WordPress核心发现一个漏洞,或甚至在某一个插件的漏洞都可用于攻击数百万的个人网站。
3、支持各种开发架构和Web服务 。许多企业级,任务关键的应用程序基本都是使用Java框架或Ruby onRails建立的。第10版经过精心设计,可精确抓取扫描和使用这些技术构建的Web应用程序。 另外随着不断上升的HTML5单页面的应用程序和移动应用,Web服务已经成为一个显著的攻击向量。 新版本改进了对使用WSDL和WCF描述基于SOAP的Web服务支持,使用WADL定义自动扫描RESTfulWeb服务。 其“深度扫描”爬行引擎可以非常迅速的分析同时使用Java框架和Ruby onRails开发的Web应用程序。
4、检测恶意软件和钓鱼网址 Acunetix WVS 10将附带一个URL的恶意软件检测服务, 这是用来分析所有的扫描过程中找到的外部链接,针对不断更新的恶意软件和钓鱼网址数据库,这项恶意软件检测服务利用了谷歌和Yandex的安全浏览数据库。
5、支持外部第三方工具。如Fiddler、Burp Suite和Selenium IDE,以加强业务逻辑测试和手动测试和自动化的工作流。
Acunetix 网站漏洞扫描软件V8 竞争优势
1.) Acunetix作为网站漏洞扫描市场中的先锋,从2005年开始,由众多经验知识丰富的网站安全专家和开发团组成了Acunetix强大的后盾。
2.) Acunetix已经赢得了相当多的很有见解的评论。
3.) Acunetix是专注于一个产品的公司。IBM或HP的团队致力于很多的产品,然而我们的团队只致力于单独一个产品。产品完整性和路线图强度潜力在我们的公司明显是更加强大的。
4.) 我们的效率是非常坦诚的,我们不创建像Webgoat技术扫描配置文件来吹嘘自己的能力,通过能否使用Acunetix扫描这些特定的技术来测试它的能力是不理性也是完全没有必要的。
5.)具有先进技术水平的启发式爬行器,爬行器对有效的扫描结果是比不可少的。请注意,不能够爬行的就是不能够扫描的,因此爬行器是扫描中的主要参与者。
6.)人性化的图形用户界面,很有组织性,很有条理让人难忘,因此版本8的用户很快就能够适应这样的界面。
7.)报告不仅仅给予预设回复,它是很深入的,带有深入的解释以及更多信息的网络参考链接,以至于漏洞可以被理解并且在以后被避免。
8.) 合规覆盖是非常广泛特定的报告功能。
9.) 用户可以创建自定义的检查来提高扫描器的功能,使用漏洞编辑器更能满足用户的需要。
10.) 一流的SQL资料隐码攻击以及跨站脚本测试。
11.) 使用Acusensor技术,我们拥有市场上最低的误报率。这是Acunetix独特的技术。Net 和PHP应用可以直接访问网络文件,这彻底保证网站的爬行。使用这个技术保证可以发现所有的输入,它可以对所有位置进行爬行,可以很大程度上减少误报率,因为我们可以内部更好地理解网站应用的行为。
12.) 多实例支持以及快速的扫描--Acunetix网站漏洞扫描软件版本8可以在同样的机器中被重新发射作为多个实例,允许用户扫描多个网站,在同一个服务器或工作站能够进一步支持多用户场景。这也可以通过拆分站点为部分,分别同时扫描各个部分,能够更快地扫描很大的网站。很明显,硬件规格应该适合多个实例。
13.) 价格—Acunetix维持着积极的价格政策,为客户提供最低的价格同时,最高的投资回报以及最先进的技术。
14.) URLs的输入操作—Acunetix网站漏洞扫描软件自动识别URL参数并操纵它们来探测漏洞。
Acunetix相关问题回答
1.如用户网站需要进行多因素认证,如令牌、短信、图形验证码的,是否能处理,假如不能处理是否能进行开发解决,周期多久?
回答:我们实际上可以进行多因素认证,但明显因素越多,它会变得更复杂。这些多因素认证通常需要人工输入。图形验证码被明确设计为打击机器自动化,因此不能够简单的自动化。网站应用开发者必须进行设置,为复杂的多因素认证创造绕路。我们已经支持自动登入标准命令行界面(CLI)的简单网站。
2. WVS的扫描机制是怎样的,请给出具体描述。
回答:基本上,我们爬行整个网站,我们在这方面很擅长。我们具有对检测到的页面/输入等进行核查。Acunetix增加了客户脚本分析器,带有谷歌浏览器和苹果浏览器中同样的渲染技术,以适当地解析HTML5,Javascript,AJAX, JSON以及其他嵌入网站应用中的技术以爬行网站应用的所有链接并索引它们进行扫描。在爬行的时候,Acunetix将目标文件和页面以及它们在网站应用中的角色进行分类,并指导扫描器应用适当的脚本测试,并从一列大约400个扫描中和取决于目标本身的所有变形体中进行扫描。
3. 进行扫描时,对同一对象发起的扫描进程数量是否可自定义,对目标会产生哪些影响,请量化解释。
回答:扫描进程数量是可以增加和减少的。你也可能会提到每个设备的并发扫描,这是取决于授权类型的。每个扫描的多线程,除此以外,你可以在同一台机器上发布多个扫描(取决于授权类型)。
4. 扫描报告的结构如何?结构是否可自定义(结构不是指扫描报告的LOGO,而是具体内容)?
回答:首先,先从扫描结果开始解释(这是最先出现的)。这些结果显示在扫描器中,用户可以从这里查看扫描结果。用户也可以使用手动工具继续进行额外的测试。扫描结果可以被输出为XML并由其他应用使用。
从扫描结果中,用户可以生成报告,报告可以被用于更高的管理人员,开发者或者甚至法律顾问(例如PCI 或 ISO27001)。这些报告可以被输出为多种形式,包括PDF和RTF。
扫描结果可以被Acunetix扫描器加载。扫描结果的XML概要可以被用来输入扫描结果到其他的质量保证SDLC以及项目管理系统中,例如DenimGroup's Threadfix。
如果有人了解XML格局,报告是人们可读的,可以被自定义的报告。
咨询版允许Logo的变化,报告是多种形式的:
PDF= Export Adobe pdf file
RTF= Export richtext file
HTML = Export html file
REP= Export report preview in WVS format
可用的报告模板
WVSAffectedItemsReport.rep
WVSComplianceReport.rep
WVSDeveloperReport.rep
WVSExecutiveReport.rep
WVSQuickReport.rep
WVSScanCompare.rep
WVSVulnGroupTrends.rep
可用的合规报告
CWE.xml
CWE_2011.xml
HIPAA.xml
ISO_27001.xml
NIST_SP800_53.xml
OWASP_Top_10_2010.xml
OWASP_Top_10_2013.xml
PCI20.xml
Sarbanes_Oxley.xml
STIG_DISA.xml
WASC_Threat_Classification.xml
联系我们
公司名称:哲想方案(北京)科技有限公司
北京哲想软件官方网站:www.cogitosoft.com
北京哲想软件微信公众平台账号:cogitosoftware
北京哲想软件微博:哲想软件
联系方式:+86(10)6842137
俞先生:18610247936
