产品特点
全面、深度、准确评估WEB应用弱点,有助于提高主动防御能力
支持的WEB应用类型
全面支持WEB 2.0,支持各类JavaScript脚本解析
全面支持FLASH解析
支持WAP类及WMLScript脚本类应用系统
支持基于HTTPS应用系统的检测
首家支持国内、国外知名WEB应用程序漏洞扫描
支持所有类型的动态页面
支持HTTP 1.0和1.1标准的Web应用系统
国内首创灰盒模式,弥补传统的黑盒模式无法有效检测存储式跨站、页面无变化的SQL注入(update,insert等),使得结果更全面
支持各类认证方式
支持基于支持包括Basic、Digest、NTLM在内的认证方式
支持HTTP和SOCKS代理,并支持各种代理的认证方式
支持基于证书认证的系统扫描(如:网银)
支持的数据库类型
Oracle、MSSQL、DB2、Informix、Sybase、Mysql、PostgreSQL、Access、 Ingres等
支持的弱点类型(包含OWASP TOP 10:A1-注入攻击、A2-失效的身份认证和会话管理、A3-跨站脚本(XSS)、A4-不安全的直接对象引用、A5-安全配置错误、A6-敏感数据泄露、A7-功能级访问控制缺失、A8-跨站请求伪造(CSRF)、A9-使用含有已知漏洞的组件、A10-未验证的重定向和转发)
SQL注入 XSS跨站脚本 伪造跨站点请求(CSRF)
网页木马 暗链 隐藏字段
表单绕过 命令注入 弱配置
敏感信息泄漏 代码注入 弱口令
任意文件下载 脚本木马 框架注入
操作系统命令注入 远程命令执行 Base64注入
Cookie注入 敏感文件 第三方软件
CMS指纹识别 中间件漏洞 其他各类CGI漏洞
灵活可定义的扫描工作模式
支持普通扫描模式、命令扫描模式
支持边爬行边检测、先爬行后检测、只爬行网站链接、只检测现有URL等多种扫描方式
扫描方式:简单模式(单个域名)、批量模式(多个域名)
扫描范围:当前URL、当前子域名、当前域名、任何URL
支持无人值守模式下的全自动扫描
工作方式:主动扫描、被动扫描(Proxy)
扫描深度:支持无限扫描深度
扫描过程可以随时中断/恢复,扫描结果实时存储
支持多任务、多线程、多引擎并行扫描
支持扫描例外设置
支持扫描项目文件加密管理
支持配置文件导入和导出
深度智能扫描引擎
全面支持SSL
自动过滤重复页面
自动检测所有参数
支持网页大小写敏感/不敏感
支持所需网页检测类型设置
支持验证码录制功能
独有的“取证”模式确保评估结果准确可信
直观丰富的统计报表
完善的结果趋势分析
完备丰富的风险评估报告,支持各类格式输出,并可自定义内容
全新的报表中心,能提供行业,合规,统计,审计和趋势报告
丰富的内置安全辅助工具和第三方工具和第三方插件设计
智能检索,方便快速查找系统功能,漏洞知识库和用户手册
安装运行无需第三方软件支持
行业应用案例
运营商----某省移动
客户面临的安全问题
网络技术日趋成熟,黑客们的注意力从以往对网络服务器的攻击逐步转移到了对 Web 应用的攻击;
所有的业务系统(如:营业系统、CBOSS系统、BBOSS系统等等)均采用B/S的架构,致使企业所面临的风险在不断增加;
安恒解决方案
主动防御---- 从技术和管理两个层面为某省移动应用安全保驾护航
利用安恒WEB应用弱点扫描器建设WEB应用安全扫描平台;
将WEB应用弱点扫描、风险评估纳入日常工作流程;
定期检查WEB应用本身的安全性及网页上对外链接的可靠性;
定期培训:黑客攻击技术、安全防范技术、编码规范等多方面的技能培训.
- 上一产品:安恒明鉴数据库弱点扫描器
- 下一产品:没有了!
