WEB应用安全测试丨Acunetix功能简介
快速查找并修复使您的Web应用程序面临攻击风险的漏洞。享受更多的安心——无需花费更多有限的时间。
产品功能
发现与爬行
Acunetix会自动创建所有网站、应用程序和API的列表,并使其保持新状态。
这意味着您不会留下未扫描且容易受到攻击的潜在入口点。
在大多数漏洞扫描程序无法到达的地方轻松扫描。
1、扫描SPA、脚本繁重的网站以及使用HTML5和JavaScript构建的应用程序
2、记录宏以自动扫描受密码保护和难以到达的区域
3、扫描其他扫描仪看不到的未链接文件
检测漏洞
您没有时间了解世界上新的漏洞。使用Acunetix,您不必这样做。
检测超过7,000个漏洞,包括零日漏洞。
1、使用世界上准确的漏洞扫描程序查找您的安全漏洞
2、运行快速扫描,在发现漏洞时立即发现漏洞
3、同时扫描多个环境
4、通过混合DAST + IAST扫描获得更完整的覆盖范围
解决
误报浪费你的时间。与您的开发人员无休止的反复交流也是如此。
通过自动化手动任务和减少猜测,使用 Acunetix 节省时间。
1、通过利用证明消除浪费时间的误报
2、查明需要修复的确切代码行
3、使开发人员能够自行解决安全问题
将安全融入开发
Web应用程序安全不应该只是您的责任。它应该是每个人的。
通过集成到他们每天使用的工具中,使开发人员更容易找到、修复和防止漏洞。
1、一键送票给开发者
2、帮助开发者编写更安全的代码来防止漏洞
3、连接到您的CI/CD、问题跟踪器、WAF和其他工具
持续安全
攻击随时可能发生。但这并不意味着你必须生活在恐惧中。
自动执行定期扫描——因此您可以确信自己会快速发现新漏洞。
1、安排持续的漏洞扫描
2、通过趋势图了解您的应用程序安全性如何随着时间的推移而提高
3、在使用 WAF 虚拟补丁修复漏洞的同时保持安全
将Web安全集成到您的开发过程中
通过集成到他们每天使用的工具中,使开发人员能够采取安全措施
AcuSensor技术
使用 AcuSensor 的交互式应用程序安全测试 (IAST)
AcuSensor 技术是 Acunetix 的附加组件。当您安装和使用 AcuSensor 时,Acunetix 成为IAST 解决方案(灰盒扫描器),而不仅仅是 DAST扫描器(黑盒扫描器)。AcuSensor 适用于以 Node.js、PHP、Java(包括 Spring 框架)和 ASP.NET 编写的应用程序。
当您使用AcuSensor时,Acunetix会在Acunetix扫描Web应用程序时从服务器后端获取附加信息。此附加信息引入了许多改进。
1、易于修复:AcuSensor连接到代码解释器或编译器(取决于语言),它可以识别源代码的确切行(对于PHP)或指向堆栈跟踪中的位置(对于Java和ASP.NET)。有了这些信息,您的开发人员可以更快地修复漏洞。
2、更高的精度:AcuSensor可以100%可靠地检测以下漏洞类型: SQL注入、 代码注入、 CRLF注入、 目录遍历、任意文件创建/删除、 电子邮件标头注入、 文件上传、 文件包含、文件篡改、PHP代码注入、和PHP SuperGlobals覆盖。
3、全覆盖:AcuSensor提供Web应用程序的完整目录列表,确保扫描整个Web应用程序,包括任何隐藏的、未链接的位置。此外,AcuSensor可以发现隐藏的GET和POST输入,即使这些输入并未在Web应用程序中使用。
Acunetix扫描器通过发送有效负载和分析响应来工作。当Web服务器接收到有效负载时,它会执行后端代码。如果安装了AcuSensor,它会分析执行的后端代码并向扫描仪提供附加信息。
1、您必须在服务器上安装所选语言的AcuSensor。AcuSensor可用于Linux/UNIX和Windows服务器。
2、AcuSensor直接与PHP解释器以及Java和ASP.NET字节码编译器一起工作。
3、您根本不需要修改源代码即可使用AcuSensor。与需要您在代码中编译传感器的IAST产品相比,这是一个主要优势,通常需要您更改构建过程或将软件依赖项添加到项目中。
AcuSensor在特定环境中效果更佳,不推荐用于其他一些环境。要充分利用AcuSensor,请在正确的环境中使用它。
1、您应该在登台服务器上安装AcuSensor。这是执行IAST分析的位置。
2、您可以在虚拟机上安装AcuSensor,以作为CI/CD管道的一部分执行IAST分析。在这种情况下,需要将AcuSensor安装作为CI/CD管道的一部分。
3、我们不建议在生产服务器上安装AcuSensor。活动的 AcuSensor会消耗一些资源,因此您的生产 Web 应用程序可能会运行得更慢。
4、AcuSensor目前可用于Node.js、PHP、ASP.NET和Java。如果您希望我们为您的技术创建AcuSensor,请告诉我们。
AcuMonitor服务
AcuMonitor 是 Acunetix 提供的一项服务,它允许扫描程序检测带外漏洞。此服务由带外检查自动使用,无需安装或配置,只需简单注册本地版本即可。
AcuMonitor增加了Acunetix扫描程序可以检测到的漏洞范围。如果没有AcuMonitor,就无法进行带外检测。此外,使用AcuMonitor检测到的漏洞绝不是误报。以下是Acunetix使用AcuMonitor检测到的一些漏洞:
1、盲目的服务器端XML/SOAP注入
2、盲XSS(延迟XSS)
3、主机头攻击
4、带外远程代码执行 (OOB RCE)
5、带外SQL注入 (OOB SQLi)
6、电子邮件标头注入
7、服务器端请求伪造 (SSRF)
8、XML外部实体注入 (XXE)
在Acunetix扫描期间,您的Acunetix扫描器会将有效负载发送到测试的应用程序。以下是这些有效负载如何与AcuMonitor一起使用:
1、AcuMonitor是一项可公开访问的服务。它等待两种类型的连接:处理Acunetix漏洞有效负载后来自Web应用程序的连接和来自Acunetix扫描程序(在线或本地)的连接。
2、当Acunetix对带外漏洞执行测试时,有效负载旨在向AcuMonitor服务发送特定请求。在带外漏洞的情况下,这可以立即发生,也可以延迟发生,并且可以从应用程序的不同位置或完全不同的Web应用程序发生。
3、您的Acunetix扫描程序会定期轮询AcuMonitor以检查有效负载是否已到达服务。如果有,它会从AcuMonitor接收详细信息,从而100%确定地确认带外漏洞。
AcuMonitor在数据传输和数据存储方面绝对安全。
1、AcuMonitor有效负载尽可能使用TLS。这可确保对 AcuMonitor的连接进行加密。
2、AcuMonitor没有接收或存储足够的信息来识别漏洞的来源。扫描仪不会向AcuMonitor发送有关原始请求的任何信息。为了区分测试,AcuMonitor使用您在注册期间获得的AcuMonitor ID和Acunetix生成的随机标识符。
3、向AcuMonitor发出的请求会存储一段有限的时间(至多 7 天),然后安全删除。
