Acunetix包括AcunetixDeepScan技术,它允许扫描仪稳健地测试任何应用程序
防火墙,SSL和硬化网络的功能,在面对Web应用程序黑客的攻击时都是徒劳的
Web应用程序攻击通过HTTP和HTTPS进行;用于向合法用户传递内容的相同协议。然而,针对开源软件,例如WordPress、Drupal和Joomla!以及为商业或客户建立的网页应用程序攻击可以有与传统的以网络为基础的攻击相同或者更糟糕的效果。
自动化Web应用程序安全的技术领导者
DeepScan技术允许精确爬取利用复杂技术(如SOAP/WSDL,SOAP/WCF,REST/WADL,XML,JSON,GoogleWebToolkit(GWT)和CRUD操作)的AJAX重型客户端单页应用程序(SPA)
业界最先进,最强大的SQL注入和跨站点脚本测试,包括基于DOM的跨站点脚本的高级检测。
AcuSensor技术允许准确扫描,通过将黑盒扫描技术与来自放置在源代码内的传感器的反馈组合,进一步降低假阳性率。
快速,准确,易于使用
多线程,快速爬虫和扫描仪,可以爬取数十万页而不中断。
最高的WordPress漏洞检测-扫描WordPress的安装超过1200个已知的漏洞在WordPress的核心,主题和插件。
轻松生成各种技术和合规报告,面向开发商和业主。
HTML5和JavaScript安全性的最高抓取和分析率
任何扫描期间的基本过程是扫描器正确爬网应用程序的能力。Acunetix具有DeepScan技术;一个HTML5抓取和扫描引擎,通过执行和分析JavaScript,完全复制浏览器内的用户交互。DeepScan允许精确爬行AJAX重的客户端单页应用程序(SPA),这些应用程序利用了AngularJS,EmberJS和GoogleWebToolkit等技术。
使用DeepScan技术进行精确爬行和扫描
Acunetix包括AcunetixDeepScan技术,它允许扫描仪稳健地测试任何应用程序,无论它写的是什么Web技术。
DeepScan的核心是一个完全自动化的Web浏览器,可以理解和与复杂的Web技术(如AJAX,SOAP/WSDL,SOAP/WCF,REST/WADL,XML,JSON,GoogleWebToolkit(GWT)和CRUD操作就像一个普通的浏览器。这允许Acunetix测试Web应用程序,就像它在用户的浏览器中运行,允许扫描仪与复杂的控件无缝地交互,就像用户一样,显着增加了扫描仪的Web应用程序的覆盖。
DeepScan已进一步优化,用于分析在RubyonRails和JavaFrameworks(包括JavaServerFaces(JSF),Spring和Struts)上开发的网站和Web应用程序。
无障碍的经过身份验证的Web应用程序测试
多步/自定义验证方案
CAPTCHA
多因素认证
恶意软件URL检测
Acunetix包含恶意软件检测服务,可检测与已知托管恶意软件或已知用于网络钓鱼攻击的外部网站的链接。
这样的链接可以指示被扫描的站点已经被攻破,或者以某种方式攻击者已经设法将URL注入到恶意站点。也可能表示您的网站连结到的合法网站已遭到入侵,并托管恶意软体。
最高SQL注入和XSS检测率整体和准确的漏洞检测在于能够检测从最明显的SQL注入,XSS和超过500其他类型的Web应用程序漏洞的任何东西。Acunetix是检测最大种类的SQL注入和XSS漏洞的行业领导者,包括带外SQL注入和基于DOM的XSS。深入的SQL注入和跨站点脚本(XSS)漏洞测试Acunetix严格测试数百个Web应用程序漏洞,包括SQL注入和跨站点脚本。SQL注入是最古老和最流行的软件缺陷之一;它允许攻击者修改SQL查询以获取对数据库中的数据的访问。跨站点脚本攻击允许攻击者在访问者的浏览器中执行恶意脚本;可能导致该用户的模拟。当涉及到动态应用程序安全测试(DAST)时,虽然扫描程序可以运行的测试次数很重要,但它是它能够很好地抓取应用程序的次要-如果您无法抓取它,您不能扫描它!AcunetixDeepScan技术能够爬取复杂的客户端单页应用程序(SPA),即使在客户端漏洞(如基于DOM的XSS漏洞)中也能确保最高的漏洞检测率。
高级自动化基于DOM的XSS脆弱性测试基于DOM的XSS是一种高级类型的XSS攻击,当Web应用程序的客户端脚本将用户提供的数据写入文档对象模型(DOM)时,这种攻击成为可能。随后由web应用从DOM读取数据并将其输出到浏览器。如果数据被不正确地处理,攻击者可以注入有效载荷,该有效载荷将作为DOM的一部分存储并在从DOM读回数据时执行。基于DOM的XSS通常是客户端攻击,攻击者的有效载荷从不会发送到服务器。这使得它更难以检测。Acunetix可以扫描各种高级的基于DOM的XSS,并且还可以在浏览器的DOM内部移动时提供注入的有效内容的堆栈跟踪。
检测盲XSS,XXE,SSRF,主机头攻击和电子邮件头注入当尝试检测二级漏洞时,传统的检测漏洞的方法不足;即测试在测试期间不提供对扫描器的响应的漏洞。检测二级漏洞需要中间服务;Acunetix与其内置的AcuMonitor技术相结合,可以自动检测此类漏洞,并对运行扫描的用户透明。AcuMonitor允许检测漏洞,例如盲XSS,XML外部实体注入(XXE),服务器端请求伪造(SSRF),主机头攻击,电子邮件头注入和密码重置中毒。
最低假阳性保证有效的Web应用程序安全
Acunetix独特的AcuSensor技术通过在源代码中部署传感器的交互式应用程序安全测试(IAST)来增强定期动态扫描。AcuSensor将在源代码执行期间将反馈中继到扫描仪。在Web应用安全测试中,黑盒和白盒测试(通常称为灰盒测试)的组合进一步增强了扫描器的检测率。
使用AcuSensor进行交互式安全测试
传统的Web应用程序安全测试(黑盒测试)不会在执行过程中看到代码的行为,而源代码分析也不会总是理解当代码执行时会发生什么。AcuSensor将这两种方法结合在一起,并能够实现显着更高的漏洞检测。通常,只有在报告数据库错误或通过“盲目”技术时才能找到SQL注入漏洞。使用AcuSensor,可以在所有SQL查询中检测到SQL注入漏洞;包括INSERT语句。
Pinpoint漏洞的确切位置
AcuSensor技术可以指示漏洞所在的代码行,并报告其他调试信息。这极大地提高了修复效率,并使开发人员修复漏洞的任务更容易。
后端文件抓取
AcuSensor可以运行后端抓取,将通过Web服务器可访问的所有文件提供给扫描器;即使这些文件没有通过前端应用程序链接。这确保100%的应用程序覆盖,并警告用户任何后门文件可能已被恶意上传的攻击者。
最低假阳性率
AcuSensor技术可以通过在执行应用程序的源代码期间执行额外的测试,自动验证通过黑盒扫描技术发现的漏洞。这允许Acunetix扫描在使用AcuSensor时提供接近0%的假阳性率。
使用AcuSensor,您能够以100%的准确率检测到关键漏洞
漏洞管理和监管合规报告
漏洞管理(VM)是发现,测量和补救漏洞的持续努力。组织使用漏洞管理来避免应用程序和网络基础设施的利用所带来的威胁。Acunetix将高级漏洞管理功能作为其核心,使其易于启动您的漏洞管理程序,并将扫描器的结果集成到其他工具和平台中。
您的漏洞管理计划在一个合并的视图
Acunetix不再需要在多个PDF,电子表格和其他信息孤岛中管理应用程序安全程序,而是允许您持续自动保护应用程序组合,同时从一个统一视图管理风险暴露。
跟踪问题,而不是PDF
开发团队管理问题跟踪器中的工作负载,以修复错误,跟踪新功能的进度并管理截止日期。对于具有“300页PDF”的开发人员来说,充满需要注意的安全问题是适得其反的,并产生了沟通障碍。
Acunetix与AtlassianJIRA,GitHub和MicrosoftTeamFoundationServer(TFS)集成,将Acunetix发现的漏洞纳入开发人员手中,同时仍然为管理提供他们所需的历史数据,趋势和优先级工具,以便提出问题并制定策略决定。
高级管理和合规报告
Acunetix允许您轻松生成各种详细的技术,管理和合规报告,如PCIDSS,OWASPTop10,ISO27001和HIPAA。
这些报告允许您在内部与管理层和监管机构共享安全发现。报告可以集中在单个扫描,特定目标或甚至任意组的扫描或目标。
WordPress安全扫描功能互联网上超过24%的网站运行WordPress,内容管理系统(CMS)市场占有60%的份额;WordPress安全性正在成为组织安全态势中越来越重要的因素。尽管WordPress的核心设计考虑了安全性,但是对于扩展WordPress生态系统的成千上万的插件来说,这并不是说。不幸的是,数千个WordPress插件包含高度严重的漏洞。除非易受攻击的插件被更新或禁用,否则它们可能允许攻击者轻易地破坏网站的完整性和可用性,访问WordPress管理界面和数据库,以及欺骗网站并欺骗用户进行网络钓鱼攻击,或使用网站分发恶意软件。扫描易受攻击的WordPress插件Acunetix识别WordPress安装,并将为1200多个流行的WordPress插件,以及对WordPress核心漏洞的其他一些漏洞测试启动安全测试。此外,Acunetix还将进行其他WordPress特定的配置测试,如弱WordPress管理员密码,WordPress用户名枚举,wp-config.php备份文件,恶意软件伪装成插件和旧版本的插件。检测到WordPress插件,列在WordPress插件知识库中,包括描述,检测到的版本号和要更新的插件的最新版本。类似的检查也在其他内容管理系统上执行,如Joomla!和Drupal。
WordPress配置文件披露虽然大多数常见配置设置可通过WordPress管理界面使用,但WordPress管理员可能需要直接更改wp-config.php中的某些设置。这通常通过首先创建已知工作配置的备份,然后在文本编辑器中手动更改文件来完成。但是,备份文件对任何能够猜测备份文件名的人都可用。用户名枚举和弱密码猜测Acunetix运行测试WordPress帐户的用户名枚举。枚举用户名使攻击者在攻击您的WordPress安装时有一个开头,因为攻击者将有必要的信息来启动针对枚举用户名的密码字典攻击。基于扫描期间识别的用户,Acunetix还将尝试检测枚举用户是否使用基于密码列表的弱密码以及其他组合,包括使用leetspeak。
不只是WordPress
除了检测易受攻击版本的WordPress核心,插件和配置错误,Acunetix也可以检测Joomla中的漏洞!和Drupal安装。按照WordPress,Joomla!和Drupal是最广泛部署的内容管理系统(CMS),并有自己的漏洞和错误配置的份额。
高级功能:笔测试工具和WAF配置
Acunetix包括用于渗透测试人员进一步自动测试,与外部工具集成以及帮助测试业务逻辑Web应用程序的工具的高级工具。
进一步自动扫描
使用集成的HTTP编辑器从自动爬网或扫描中导出HTTP请求,修改或创建HTTP请求并分析Web服务器的响应。
拦截,记录和修改使用Traps支持正则表达式并使用集成的HTTPSniffer实时发送到Web应用程序和从Web应用程序发送的HTTP流量。通过使用捕获的流量来扩展手动HTTP流量检查,以构建可用作自动扫描的一部分的自定义爬网结构。
FuzzHTTP请求,使用各种内置的模糊器测试验证和处理无效或随机数据。使用支持正则表达式的HTTPFuzzer过滤器过滤模糊HTTP请求。
导出自动扫描的盲注SQL注入漏洞,并使用BlindSQLInjector执行自动化数据库数据提取。
从内置HTTPEditor导入手动抓取数据,第三方工具(如TelerikFiddler,PortswiggerBurpSuite和HAR(HTTP归档)文件)。
自动Web应用程序防火墙(WAF)配置有时,它不可能推出一个高严重性漏洞的修复,然后。Acunetix与ImpervaSecureSphere,F5BIG-IP应用程序安全管理器和FortiWebWAF集成,可以自动创建相应的Web应用程序防火墙规则,以保护Web应用程序免受针对扫描程序发现的漏洞的攻击。这允许您临时防止利用高严重性漏洞,直到您能够解决它们。
集成和可扩展性Acunetix具有强大的命令行界面(CLI)和RESTful应用程序编程接口(RESTAPI)。RESTAPI允许使用常规HTTP请求以简单,编程方式访问和管理Acunetix中的扫描目标,扫描,漏洞,报告和其他资源。API的端点直观而强大,允许您轻松检索信息和执行操作。
AcunetixOnline的网络安全扫描器的主要特点全面的安全审计需要详细检查面向公众的网络资产的边界。Acunetix在AcunetixOnline中集成了受欢迎的OpenVAS扫描器,提供了一个全面的外围网络安全扫描,可以与您的Web应用程序安全测试无缝集成,这一切都来自一个简单易用的简单的基于云的服务。扫描周边网络服务不安全的外围网络是大多数数据泄露的原因。因此,外围是网络中最重要的区域之一,以防止可能危及网络服务的安全性或可用性的漏洞,配置错误和其他安全威胁。AcunetixOnline扩展了您的网络对外部威胁的可见性,并为您提供了您的网络外围的视角,就像攻击者会看到的。每个网络扫描最初都将以扫描目标的IP地址的端口扫描开始,以便发现打开的端口和正在运行的服务。然后,对打开的端口进行超过35,000个已知漏洞和错误配置的测试。
检测网络安全错误配置Acunetix在线可以检测广泛的网络安全错误配置,可能导致敏感数据泄露,拒绝服务或甚至危及主机。测试包括通过FTP测试匿名FTP访问和可写目录,配置不当的代理服务器,弱SNMP社区字符串,弱TLS/SSL密码和许多其他安全漏洞。