GS logo

GS logo

Invicti 700x150

Acunetix

Acunetix简介

为什么您需要保护您的Web应用程序网站安全是当今企业安全最被忽视的方面,应该成为任何组织的优先事项。黑客们越来越专注于基于网络的应用程序——购物车、表单、登录页面、动态内容等。不安全的网络应用程序可从世界任何地方全天候访问,可以轻松访问后端公司数据库,还允许黑客使用受攻击的网站执行非法活动。受害者的网站可用于发起犯罪活动,如托管钓鱼网站或传输非法内容,同时滥用网站的带宽,并使其所有者对这些非法行为负责。黑客已经定期对组织发起各种各样的攻击,包括SQL注入、跨站脚本、目录遍历攻击、参数操作(例如URLCookieHTTP头、Web表单)、身份验证攻击、目录枚举和其他漏洞。黑客社区也非常紧密;新发现的网络应用程序入侵,即零日漏洞,发布在一些只有该独家地下团体成员知道的论坛和网站上。帖子每天更新,用于传播和促进进一步黑客攻击。网络应用程序——购物车、表单、登录页面、动态内容和其他定制应用程序——旨在允许您的网站访问者检索和提交动态内容,包括不同级别的个人和敏感数据。如果这些网络应用程序不安全,那么您的整个敏感信息数据库都面临严重风险。

Gartner Group的一项研究表明,75%的网络攻击是在网络应用程序层面进行的。为什么网络应用容易受到攻击?网站和网络应用程序每周7天、每天24小时通过互联网向客户、员工、供应商以及黑客轻松获得。防火墙和SSL不能提供防止Web应用程序黑客攻击的保护,原因很简单,对网站的访问必须公开。

Web应用程序通常可以直接访问后端数据,如客户数据库。 大多数网络应用程序都是定制的,因此,与现成软件相比,测试程度较低。因此,自定义应用程序更容易受到攻击。 各种备受瞩目的黑客攻击证明,Web应用程序安全仍然是最重要的。如果您的Web应用程序被盗,即使您的防火墙配置正确,操作系统和应用程序重复补丁,黑客仍将完全访问您的后端数据。 网络安全防御不提供针对Web应用程序攻击的保护,因为这些防御是在端口80上启动的,端口必须保持开放才能正常运行业务。因此,您必须定期和一致地审计您的Web应用程序是否存在可利用的漏洞。 自动化Web应用安全扫描需求 手动漏洞审计所有Web应用程序既复杂又耗时,因为它通常涉及处理大量数据。它还需要高水平的专业知识和跟踪网络应用程序中使用的大量代码的能力。

此外,黑客们也在不断寻找利用您的Web应用程序的新方法,这意味着您必须不断监控安全社区,并在黑客发现您的Web应用程序代码中发现新的漏洞。 自动漏洞扫描允许您专注于构建Web应用程序的已经具有挑战性的任务。自动网络应用程序扫描仪总是在寻找黑客可以用来访问您的网络应用程序或其背后的数据的新攻击路径。 在几分钟内,自动网络应用程序扫描仪可以扫描您的网络应用程序,识别从互联网访问的所有文件,并模拟黑客活动,以识别脆弱的组件。 此外,自动漏洞扫描器还可用于评估组成Web应用程序的代码,使其能够识别潜在的漏洞,这些漏洞可能从互联网上看不出,但仍然存在于Web应用程序中,因此仍然可以被利用。 Acunetix 漏洞管理 Acunetix是一个自动化的Web应用程序安全测试工具,通过检查SQL注入、跨站点脚本和其他可利用的漏洞来审计您的Web应用程序。

一般来说,Acunetix扫描任何可以通过网页浏览器访问的网站或网络应用程序,并使用HTTP/HTTPS协议。 Acunetix为分析现成和自定义Web应用程序(包括使用JavaScript、AJAX和Web 2.0 Web应用程序)提供了一个强大而独特的解决方案。Acunetix 有一个高级爬虫,几乎可以找到任何文件。这很重要,因为找不到的东西不能检查。

Acunetix的工作原理 Acunetix的工作方式如下: Acunetix DeepScan通过跟踪网站上的所有链接来分析整个网站,包括使用JavaScript动态构建的链接,以及robots.txt和sitemap.xml中查找的链接(如果有的话)。结果是一张网站的地图,Acunetix将用它来对网站的每个部分发起有针对性的检查。 如果启用了Acunetix AcuSensor技术,传感器将检索Web应用程序目录中所有文件的列表,并将爬虫未找到的文件添加到爬虫输出中。此类文件通常不会被爬虫发现,因为它们无法从 Web 服务器访问,或无法通过网站链接。Acunetix AcuSensor还分析无法从互联网访问的文件,例如web.config。 爬取过程之后,扫描仪会自动对发现的每个页面发起一系列漏洞检查,本质上是模仿黑客。

 

Acunetix还分析每个页面,寻找可以输入数据的地方,然后尝试所有不同的输入组合。这是自动扫描阶段。如果启用了AcuSensor技术,将针对网站启动一系列额外的漏洞检查。有关AcuSensor的更多信息,请参阅以下部分。 识别的漏洞显示在扫描结果中。每个漏洞警报都包含有关漏洞的信息,例如使用的POST数据、受影响的项目、服务器的HTTP响应等。 如果使用AcuSensor技术,则列出导致漏洞的详细信息,如源代码行号、堆栈跟踪或受影响的SQL查询。还展示了关于如何修复漏洞的建议。 完成扫描后可以生成各种报告,包括执行摘要报告、开发人员报告和各种合规报告,如PCI DSS或ISO 270001。 

 

Acunetix AcuSensor技术 Acunetix独特的AcuSensor技术允许您识别比其他Web应用程序扫描仪更多的漏洞,同时生成更少的假阳性。Acunetix AcuSensor 确切地指示漏洞在代码中的位置,并报告其他调试信息。 提高准确性,适用于PHP。NET和JAVA网络应用程序是通过将黑盒扫描技术与放置在源代码中的传感器的反馈相结合来实现的。黑盒扫描不知道应用程序的反应,源代码分析器也不知道应用程序在受到攻击时会如何表现。AcuSensor技术结合了这两种技术,比独立使用源代码分析器和黑盒扫描取得了显著更好的效果。 AcuSensor可以安装在。NET、PHP和JAVA代码透明。AcuSensor可以安装在预编译中。NET和JAVA程序集,即使它们有签名(强名),因此两者都没有。需要NET或JAVA源代码,也不需要编译器(或任何其他依赖项)。对于PHP Web应用程序,源代码是现成的。迄今为止,Acunetix是唯一实现该技术的Web漏洞安全解决方案。

 

使用AcuSensor技术的优势 允许您更快地定位和修复漏洞,因为能够提供有关漏洞的更多信息,例如源代码行号、堆栈跟踪、受影响的SQL查询等。 大幅减少扫描网站时的假阳性,因为它更好地了解了 Web 应用程序的行为。 提醒您注意可能导致安全配置错误的Web应用程序配置问题,或暴露敏感信息。例如如果启用了“自定义错误”。NET,这可能会向恶意用户公开敏感的应用程序详细信息。 建议您如何更好地保护您的Web服务器设置,例如,如果在Web服务器上启用了写访问。 检测更多 SQL 注入漏洞。以前只有报告数据库错误才能发现SQL注入漏洞,现在可以分析源代码以改进检测。 能够检测所有SQL语句中的SQL注入漏洞,包括SQL INSERT语句。使用黑盒扫描仪无法找到此类 SQL 注入漏洞。这大大提高了Acunetix发现漏洞的能力。 使用AcuSensor运行的扫描运行后端抓取,将通过Web服务器访问的所有文件呈现给扫描仪;即使这些文件没有通过前端应用程序链接。这确保了应用程序的100%覆盖率,并提醒用户任何可能被攻击者恶意上传的后门文件。AcuSensor技术能够拦截所有Web应用程序输入,并构建一个包含网站中所有可能输入的完整列表并进行测试。 能够测试任意文件创建和删除漏洞。例如通过漏洞脚本,恶意用户可以在Web应用程序目录中创建一个文件并执行该文件以获得特权访问,或删除敏感的Web应用程序文件。 网络漏洞扫描 作为网站审计的一部分,Acunetix的在线版本将对托管网站的服务器执行网络安全审计。此网络安全扫描将通过在系统上运行端口扫描来识别在扫描服务器上运行的任何服务。Acunetix将报告操作系统和托管检测到的服务的软件。这个过程还将识别可能潜伏在服务器上的木马。

 

网络漏洞扫描评估流行协议的安全性,如FTP、DNS、SMTP、IMAP、POP3、SSH、SNMP和Telnet。除了测试弱密码或默认密码外,Acunetix还将检查检测到的服务中是否有可能导致安全漏洞的错误配置。Acunetix还将检查在机器上运行的任何其他服务器是否使用任何不建议使用的协议。所有这些都会导致系统不安全,这将允许入侵者破坏您的网站和声誉。 Acunetix Online还集成了流行的OpenVAS网络扫描仪,以检查超过5万个网络漏洞。在网络扫描期间,Acunetix使用各种端口探测和操作系统指纹技术来识别大量设备、操作系统和服务器产品。然后对在扫描服务器上运行的已识别产品启动许多安全检查,允许您检测外围服务器上存在的所有漏洞。