010-68421378
sales@cogitosoft.com
产品分类

Acunetix Web Vulnerability Scanner

随着云计算的采用和浏览器技术的进步,Web应用程序和Web服务已经成为许多业务流程的核心组件,因此是攻击者的有利可图的目标。然而,超过70%的网站和网络应用程序包含可能导致敏感的公司数据,信用卡,客户信息和个人身份信息(PII)被盗的漏洞。

防火墙,SSL和硬化网络的功能,在面对Web应用程序黑客的攻击时都是徒劳的

网络犯罪分子正致力于利用网络应用程序中的弱点,例如电子商务平台,博客,登录页面和其他动态内容。不安全的Web应用程序和Web服务不仅为攻击者提供对后端数据库的访问,还允许他们使用受到攻击的站点执行非法活动。

Web应用程序攻击通过HTTP和HTTPS进行;用于向合法用户传递内容的相同协议。然而,针对开源软件,例如 WordPress、Drupal和Joomla!以及为商业或客户建立的网页应用程序攻击可以有与传统的以网络为基础的攻击相同或者更糟糕的效果。

自动化Web应用程序安全的技术领导者

DeepScan技术允许精确爬取利用复杂技术(如SOAP / WSDL,SOAP / WCF,REST / WADL,XML,JSON,Google Web Toolkit(GWT)和CRUD操作)的AJAX重型客户端单页应用程序(SPA)

业界最先进,最强大的SQL注入和跨站点脚本测试,包括基于DOM的跨站点脚本的高级检测。

AcuSensor技术允许准确扫描,通过将黑盒扫描技术与来自放置在源代码内的传感器的反馈组合,进一步降低假阳性率。

快速,准确,易于使用

多线程,快速爬虫和扫描仪,可以爬取数十万页而不中断。

最高的WordPress漏洞检测 - 扫描WordPress的安装超过1200个已知的漏洞在WordPress的核心,主题和插件。

易于使用的登录序列记录器,允许自动抓取和扫描复杂的密码保护区域,包括多步,单点登录(SSO)和基于OAuth的网站。

轻松生成各种技术和合规报告,面向开发商和业主。

永久或订阅许可

Acunetix本地以1年订购许可证或永久许可证的形式出售。标准版,专业版和企业版都有这两种形式。通常,永久许可证在多年内更具成本效益(降低总拥有成本)。

在1年许可证的整个期间免费提供支持和版本升级,但是它仅包括在永久许可证的第一年。为了将此期间的支持和免费版本升级为一年或多年,应与永久许可证一起购买维护协议。

标准版x2并发扫描(无限站点/服务器)

标准版是Acunetix的入门级演示,可用于扫描无限数量的网站,限制为从同一单一固定安装计算机同时扫描2次。典型的标准版客户是一个负责安全状态和合规性的单个工作站用户,他希望在一些优秀的开发人员报告和Acunetix现在所知的修复提示的支持下进行独立的笔测试。

从v11的推出,标准版替换和继续从以前命名的企业产品。术语Enterprise现在保留用于在规模的另一端的较大的多用户和可选地多发动机许可证。 Enterprise(x2并发扫描)版v10.5或更早版本的许可证将根据有效的维护或订阅协议自动升级到v11中的标准版,并且产品部件号保持不变。

Pro Edition x5并发扫描

Pro Edition x5并发扫描许可证是高级用户需要更详细的合规报告和与软件生产列车集成的理想选择。 Pro Edition支持从同一单个固定安装计算机进行5个并发扫描。

Pro Edition客户可以是外包或保密的安全专业人员,领导更高级的项目,例如在组织内设置专业的应用程序安全漏洞管理程序。该用户将负责安全状态和合规性。 Pro Edition可以访问许多企业功能,例如:能够对资产目标进行分组和分类,以获得更好的漏洞补救优先级;与软件开发生命周期(SDLC)项目管理或问题跟踪系统的集成;全面的合规性报告;与顶级Web应用程序防火墙(WAF)集成;信息趋势图,供高层管理人员使用。

从v11的推出,Pro版本替代并继续从以前命名的顾问5并发扫描产品。顾问(x5并发扫描)版v10.5或更早版本的许可证将根据有效的维护或订阅协议自动升级到v11中的专业版,并且产品部件号保持不变。

企业版x10并发扫描

企业版x10并发扫描增加了多用户,协作团队功能,还可以控制多个Acunetix扫描引擎。

由于在大量从事应用程序开发的组织中开发的威胁和漏洞管理程序,客户可以扩展到多个用户,包括高级管理,治理,风险和合规(GRC)人员。企业版客户拥有完全基于角色的多用户团队支持,并能够部署由中央系统管理的多个扫描引擎,而入门级企业3,5,10用户许可证的单一固定安装包括中央系统和扫描引擎安装。企业版可以扩展从3到无限的用户和最多50 Acunetix扫描引擎。

HTML5JavaScript安全性的最高抓取和分析率

任何扫描期间的基本过程是扫描器正确爬网应用程序的能力。 Acunetix具有DeepScan技术;一个HTML5抓取和扫描引擎,通过执行和分析JavaScript,完全复制浏览器内的用户交互。 DeepScan允许精确爬行AJAX重的客户端单页应用程序(SPA),这些应用程序利用了AngularJS,EmberJS和Google Web Toolkit等技术。

使用DeepScan技术进行精确爬行和扫描

Acunetix包括Acunetix DeepScan技术,它允许扫描仪稳健地测试任何应用程序,无论它写的是什么Web技术。

DeepScan的核心是一个完全自动化的Web浏览器,可以理解和与复杂的Web技术(如AJAX,SOAP / WSDL,SOAP / WCF,REST / WADL,XML,JSON,Google Web Toolkit(GWT)和CRUD操作就像一个普通的浏览器。这允许Acunetix测试Web应用程序,就像它在用户的浏览器中运行,允许扫描仪与复杂的控件无缝地交互,就像用户一样,显着增加了扫描仪的Web应用程序的覆盖。

DeepScan已进一步优化,用于分析在Ruby on Rails和Java Frameworks(包括Java Server Faces(JSF),Spring和Struts)上开发的网站和Web应用程序。

无障碍的经过身份验证的Web应用程序测试

测试您的网站和Web应用程序的认证区域对于确保完全测试覆盖率是绝对至关重要的。 Acunetix可以使用登录序列记录器记录登录序列,自动测试验证区域。 登录序列记录器使得记录一系列扫描器可以重新播放以对页面进行验证的操作变得快速和容易。 登录序列记录器还可以记录一系列限制; 使其轻松在几次点击中精确限制扫描的范围。

Acunetix登录序列记录器支持大量的身份验证机制,包括

•多步/自定义验证方案

•单点登录身份验证

•CAPTCHA

•多因素认证

恶意软件URL检测

Acunetix包含恶意软件检测服务,可检测与已知托管恶意软件或已知用于网络钓鱼攻击的外部网站的链接。

这样的链接可以指示被扫描的站点已经被攻破,或者以某种方式攻击者已经设法将URL注入到恶意站点。 也可能表示您的网站连结到的合法网站已遭到入侵,并托管恶意软体。

最高SQL注入和XSS检测率
整体和准确的漏洞检测在于能够检测从最明显的SQL注入,XSS和超过500其他类型的Web应用程序漏洞的任何东西。 Acunetix是检测最大种类的SQL注入和XSS漏洞的行业领导者,包括带外SQL注入和基于DOM的XSS。
深入的SQL注入和跨站点脚本(XSS)漏洞测试
Acunetix严格测试数百个Web应用程序漏洞,包括SQL注入和跨站点脚本。 SQL注入是最古老和最流行的软件缺陷之一;它允许攻击者修改SQL查询以获取对数据库中的数据的访问。跨站点脚本攻击允许攻击者在访问者的浏览器中执行恶意脚本;可能导致该用户的模拟。
当涉及到动态应用程序安全测试(DAST)时,虽然扫描程序可以运行的测试次数很重要,但它是它能够很好地抓取应用程序的次要 - 如果您无法抓取它,您不能扫描它 Acunetix DeepScan技术能够爬取复杂的客户端单页应用程序(SPA),即使在客户端漏洞(如基于DOM的XSS漏洞)中也能确保最高的漏洞检测率。

高级自动化基于DOMXSS脆弱性测试
基于DOM的XSS是一种高级类型的XSS攻击,当Web应用程序的客户端脚本将用户提供的数据写入文档对象模型(DOM)时,这种攻击成为可能。 随后由web应用从DOM读取数据并将其输出到浏览器。 如果数据被不正确地处理,攻击者可以注入有效载荷,该有效载荷将作为DOM的一部分存储并在从DOM读回数据时执行。
基于DOM的XSS通常是客户端攻击,攻击者的有效载荷从不会发送到服务器。 这使得它更难以检测。 Acunetix可以扫描各种高级的基于DOM的XSS,并且还可以在浏览器的DOM内部移动时提供注入的有效内容的堆栈跟踪。

检测盲XSSXXESSRF,主机头攻击和电子邮件头注入
当尝试检测二级漏洞时,传统的检测漏洞的方法不足; 即测试在测试期间不提供对扫描器的响应的漏洞。 检测二级漏洞需要中间服务; Acunetix与其内置的AcuMonitor技术相结合,可以自动检测此类漏洞,并对运行扫描的用户透明。
AcuMonitor允许检测漏洞,例如盲XSS,XML外部实体注入(XXE),服务器端请求伪造(SSRF),主机头攻击,电子邮件头注入和密码重置中毒。

最低假阳性保证有效的Web应用程序安全

Acunetix独特的AcuSensor技术通过在源代码中部署传感器的交互式应用程序安全测试(IAST)来增强定期动态扫描。 AcuSensor将在源代码执行期间将反馈中继到扫描仪。在Web应用安全测试中,黑盒和白盒测试(通常称为灰盒测试)的组合进一步增强了扫描器的检测率。

使用AcuSensor进行交互式安全测试

传统的Web应用程序安全测试(黑盒测试)不会在执行过程中看到代码的行为,而源代码分析也不会总是理解当代码执行时会发生什么。 AcuSensor将这两种方法结合在一起,并能够实现显着更高的漏洞检测。通常,只有在报告数据库错误或通过“盲目”技术时才能找到SQL注入漏洞。使用AcuSensor,可以在所有SQL查询中检测到SQL注入漏洞;包括INSERT语句。

Pinpoint漏洞的确切位置

AcuSensor技术可以指示漏洞所在的代码行,并报告其他调试信息。这极大地提高了修复效率,并使开发人员修复漏洞的任务更容易。

后端文件抓取

AcuSensor可以运行后端抓取,将通过Web服务器可访问的所有文件提供给扫描器;即使这些文件没有通过前端应用程序链接。这确保100%的应用程序覆盖,并警告用户任何后门文件可能已被恶意上传的攻击者。

最低假阳性率

检测不存在的漏洞是一个应对的噩梦。 假阳性降低了扫描仪的信心,浪费了笔试和开发人员试图找到并修复漏洞的时间。 Acunetix在业界具有最低的假阳性率,为您的安全和开发团队节省了宝贵的时间。

AcuSensor技术可以通过在执行应用程序的源代码期间执行额外的测试,自动验证通过黑盒扫描技术发现的漏洞。 这允许Acunetix扫描在使用AcuSensor时提供接近0%的假阳性率。

使用AcuSensor,您能够以100%的准确率检测到关键漏洞

漏洞管理和监管合规报告

漏洞管理(VM)是发现,测量和补救漏洞的持续努力。组织使用漏洞管理来避免应用程序和网络基础设施的利用所带来的威胁。 Acunetix将高级漏洞管理功能作为其核心,使其易于启动您的漏洞管理程序,并将扫描器的结果集成到其他工具和平台中。

您的漏洞管理计划在一个合并的视图

它需要团队合作和协作来建立和维护一个伟大的安全计划。 Acunetix多用户,多角色功能使您的团队能够灵活和高效地获得仅对他们需要的资源的访问。漏洞管理功能允许您的团队通过将与应用程序安全程序相关的所有内容存储在单一的中央位置,轻松地保持对整个应用程序组合中的安全状态的集成视图。

Acunetix不再需要在多个PDF,电子表格和其他信息孤岛中管理应用程序安全程序,而是允许您持续自动保护应用程序组合,同时从一个统一视图管理风险暴露。

跟踪问题,而不是PDF

开发团队管理问题跟踪器中的工作负载,以修复错误,跟踪新功能的进度并管理截止日期。 对于具有“300页PDF”的开发人员来说,充满需要注意的安全问题是适得其反的,并产生了沟通障碍。

Acunetix与Atlassian JIRA,GitHub和Microsoft Team Foundation Server(TFS)集成,将Acunetix发现的漏洞纳入开发人员手中,同时仍然为管理提供他们所需的历史数据,趋势和优先级工具,以便提出问题并制定策略 决定。

将安全问题集成到软件开发生命周期是任何漏洞管理程序成功的关键,因为它通过保持开发人员在同一套工具中所需要做的一切,减少了修复问题的时间和精力。

高级管理和合规报告

Acunetix允许您轻松生成各种详细的技术,管理和合规报告,如PCI DSS,OWASP Top 10,ISO 27001和HIPAA。

这些报告允许您在内部与管理层和监管机构共享安全发现。 报告可以集中在单个扫描,特定目标或甚至任意组的扫描或目标。

WordPress安全扫描功能
互联网上超过24%的网站运行WordPress,内容管理系统(CMS)市场占有60%的份额; WordPress安全性正在成为组织安全态势中越来越重要的因素。尽管WordPress的核心设计考虑了安全性,但是对于扩展WordPress生态系统的成千上万的插件来说,这并不是说。不幸的是,数千个WordPress插件包含高度严重的漏洞。除非易受攻击的插件被更新或禁用,否则它们可能允许攻击者轻易地破坏网站的完整性和可用性,访问WordPress管理界面和数据库,以及欺骗网站并欺骗用户进行网络钓鱼攻击,或使用网站分发恶意软件。
扫描易受攻击的WordPress插件
Acunetix识别WordPress安装,并将为1200多个流行的WordPress插件,以及对WordPress核心漏洞的其他一些漏洞测试启动安全测试。此外,Acunetix还将进行其他WordPress特定的配置测试,如弱WordPress管理员密码,WordPress用户名枚举,wp-config.php备份文件,恶意软件伪装成插件和旧版本的插件。
检测到WordPress插件,列在WordPress插件知识库中,包括描述,检测到的版本号和要更新的插件的最新版本。类似的检查也在其他内容管理系统上执行,如Joomla!Drupal。

WordPress配置文件披露
虽然大多数常见配置设置可通过WordPress管理界面使用,但WordPress管理员可能需要直接更改wp-config.php中的某些设置。这通常通过首先创建已知工作配置的备份,然后在文本编辑器中手动更改文件来完成。但是,备份文件对任何能够猜测备份文件名的人都可用。
用户名枚举和弱密码猜测
Acunetix运行测试WordPress帐户的用户名枚举。枚举用户名使攻击者在攻击您的WordPress安装时有一个开头,因为攻击者将有必要的信息来启动针对枚举用户名的密码字典攻击。
基于扫描期间识别的用户,Acunetix还将尝试检测枚举用户是否使用基于密码列表的弱密码以及其他组合,包括使用leetspeak。

不只是WordPress

除了检测易受攻击版本的WordPress核心,插件和配置错误,Acunetix也可以检测Joomla中的漏洞! 和Drupal安装。 按照WordPress,Joomla! 和Drupal是最广泛部署的内容管理系统(CMS),并有自己的漏洞和错误配置的份额。

高级功能:笔测试工具和WAF配置

Acunetix包括用于渗透测试人员进一步自动测试,与外部工具集成以及帮助测试业务逻辑Web应用程序的工具的高级工具。

进一步自动扫描

使用集成的HTTP编辑器从自动爬网或扫描中导出HTTP请求,修改或创建HTTP请求并分析Web服务器的响应。

拦截,记录和修改使用Traps支持正则表达式并使用集成的HTTP Sniffer实时发送到Web应用程序和从Web应用程序发送的HTTP流量。通过使用捕获的流量来扩展手动HTTP流量检查,以构建可用作自动扫描的一部分的自定义爬网结构。

Fuzz HTTP请求,使用各种内置的模糊器测试验证和处理无效或随机数据。使用支持正则表达式的HTTP Fuzzer过滤器过滤模糊HTTP请求。

导出自动扫描的盲注SQL注入漏洞,并使用Blind SQL Injector执行自动化数据库数据提取。

从内置HTTP Editor导入手动抓取数据,第三方工具(如Telerik Fiddler,Portswigger BurpSuite和HAR(HTTP归档)文件)。

自动Web应用程序防火墙(WAF)配置
有时,它不可能推出一个高严重性漏洞的修复,然后。 Acunetix与Imperva SecureSphere,F5 BIG-IP应用程序安全管理器和FortiWeb WAF集成,可以自动创建相应的Web应用程序防火墙规则,以保护Web应用程序免受针对扫描程序发现的漏洞的攻击。 这允许您临时防止利用高严重性漏洞,直到您能够解决它们。

集成和可扩展性
Acunetix具有强大的命令行界面(CLI)和RESTful应用程序编程接口(REST API)。 REST API允许使用常规HTTP请求以简单,编程方式访问和管理Acunetix中的扫描目标,扫描,漏洞,报告和其他资源。 API的端点直观而强大,允许您轻松检索信息和执行操作。

Acunetix Online的网络安全扫描器的主要特点
全面的安全审计需要详细检查面向公众的网络资产的边界。 Acunetix在Acunetix Online中集成了受欢迎的OpenVAS扫描器,提供了一个全面的外围网络安全扫描,可以与您的Web应用程序安全测试无缝集成,这一切都来自一个简单易用的简单的基于云的服务。
扫描周边网络服务
不安全的外围网络是大多数数据泄露的原因。因此,外围是网络中最重要的区域之一,以防止可能危及网络服务的安全性或可用性的漏洞,配置错误和其他安全威胁。
Acunetix Online扩展了您的网络对外部威胁的可见性,并为您提供了您的网络外围的视角,就像攻击者会看到的。
每个网络扫描最初都将以扫描目标的IP地址的端口扫描开始,以便发现打开的端口和正在运行的服务。然后,对打开的端口进行超过35,000个已知漏洞和错误配置的测试。

网络漏洞测试
在扫描期间执行的网络漏洞测试包括评估检测到的设备(如路由器,防火墙,交换机和负载均衡器)的安全测试; 测试FTP,IMAP,数据库服务器,POP3,Socks,SSH和Telnet等常用协议上的弱密码; 测试DNS相关的服务器漏洞,如DNS区域转移攻击,开放递归DNS攻击和DNS缓存中毒攻击; 测试配置不当的代理服务器,弱SNMP社区字符串,弱TLS / SSL密码和许多其他安全漏洞。
然后,扫描的结果将显示在Acunetix在线仪表板内,从中可以轻松生成网络安全报告。

检测网络安全错误配置
Acunetix在线可以检测广泛的网络安全错误配置,可能导致敏感数据泄露,拒绝服务或甚至危及主机。 测试包括通过FTP测试匿名FTP访问和可写目录,配置不当的代理服务器,弱SNMP社区字符串,弱TLS / SSL密码和许多其他安全漏洞。

Acunetix(内部)许可
Acunetix(预置)可用作标准版2并发扫描,Pro Edition 5并发扫描和企业版10并发扫描。

功能一览

 

Standard

Pro

Enterprise

Architecture and Scale

无限制URL扫描

多用户

   

用户角色和特权

   

用户数量

1

1

3 – Unlimited

多扫描引擎

   

最大数量的扫描引擎

1

1

1 – 50

每个License的总并发扫描

2

5

10 – 100

 

Standard

Pro

Enterprise

Acunetix漏洞评定引擎

扫描3000+网络应用程序漏洞

Acunetix DeepScan Crawler

Acunetix AcuSensor (Gray-box 漏洞测试)

Acunetix AcuMonitor (Out-of-band漏洞测试)

Acunetix 登录序列记录

恶意软件URL检测

手动的笔测试工具套件

扫描上线网络应用程序资产

扫描内部网络应用程序资产

 

Standard

Pro

Enterprise

关键报告和漏洞严重性分类

关键报告(受影响的项目、Quick、开发商、执行)

OWASP前十个报告

CVSS(普遍的漏洞搜索系统)for Severity

补救建议

合规报告

 

 

Standard

Pro

Enterprise

集中管理和可扩展性

       

仪表板

计划扫描

持续扫描

 

目标组

 

分配目标业务关键性

 

按业务关键性排序

 

趋势图

 

WAF虚拟补丁**

 

问题跟踪系统集成***

 

为用户分配管理目标

   

集成API+

   

 

* PCI DSS,ISO / IEC 27001; 健康保险携带和责任法案(HIPAA); WASC威胁分类; Sarbanes-Oxley; NIST特别出版物800-53(用于FISMA); DISA-STIG应用程序安全; 2011 CWE / SANS 25个最危险的软件错误。
** Imperva SecureSphere,F5 BIG-IP应用安全管理器和Fortinet FortiWeb WAF
*** Atlassian JIRA,GitHub和Microsoft Team Foundation Server

†视项目资格而定

永久或订阅许可

Acunetix本地以1年订购许可证或永久许可证的形式出售。标准版,专业版和企业版都有这两种形式。通常,永久许可证在多年内更具成本效益(降低总拥有成本)。

在1年许可证的整个期间免费提供支持和版本升级,但是它仅包括在永久许可证的第一年。为了将此期间的支持和免费版本升级为一年或多年,应与永久许可证一起购买维护协议。

标准版x2并发扫描(无限站点/服务器)

标准版是Acunetix的入门级演示,可用于扫描无限数量的网站,限制为从同一单一固定安装计算机同时扫描2次。典型的标准版客户是一个负责安全状态和合规性的单个工作站用户,他希望在一些优秀的开发人员报告和Acunetix现在所知的修复提示的支持下进行独立的笔测试。

从v11的推出,标准版替换和继续从以前命名的企业产品。术语Enterprise现在保留用于在规模的另一端的较大的多用户和可选地多发动机许可证。 Enterprise(x2并发扫描)版v10.5或更早版本的许可证将根据有效的维护或订阅协议自动升级到v11中的标准版,并且产品部件号保持不变。

Pro Edition x5并发扫描

Pro Edition x5并发扫描许可证是高级用户需要更详细的合规报告和与软件生产列车集成的理想选择。 Pro Edition支持从同一单个固定安装计算机进行5个并发扫描。

Pro Edition客户可以是外包或保密的安全专业人员,领导更高级的项目,例如在组织内设置专业的应用程序安全漏洞管理程序。该用户将负责安全状态和合规性。 Pro Edition可以访问许多企业功能,例如:能够对资产目标进行分组和分类,以获得更好的漏洞补救优先级;与软件开发生命周期(SDLC)项目管理或问题跟踪系统的集成;全面的合规性报告;与顶级Web应用程序防火墙(WAF)集成;信息趋势图,供高层管理人员使用。

从v11的推出,Pro版本替代并继续从以前命名的顾问5并发扫描产品。顾问(x5并发扫描)版v10.5或更早版本的许可证将根据有效的维护或订阅协议自动升级到v11中的专业版,并且产品部件号保持不变。

企业版x10并发扫描

企业版x10并发扫描增加了多用户,协作团队功能,还可以控制多个Acunetix扫描引擎。

由于在大量从事应用程序开发的组织中开发的威胁和漏洞管理程序,客户可以扩展到多个用户,包括高级管理,治理,风险和合规(GRC)人员。企业版客户拥有完全基于角色的多用户团队支持,并能够部署由中央系统管理的多个扫描引擎,而入门级企业3,5,10用户许可证的单一固定安装包括中央系统和扫描引擎安装。企业版可以扩展从3到无限的用户和最多50 Acunetix扫描引擎。

多个并行扫描许可证和多个并发独立用户安装或额外扫描引擎

如上所述,Acunetix可用于从同一工作站运行多个网站的多个并发扫描。 标准版可以运行2个并行扫描,Pro Edition可以运行多达5个并发扫描,而软件的企业版可以同时运行10个扫描,或者在中央节点(10个并发扫描)或多个 扫描引擎,具体取决于所选的许可选项,部署配置和架构注意事项。

产品交货

Acunetix软件产品以电子方式交付。 许可密钥和下载位置在发出订单后的一个工作日内通过电子邮件发送给您。

交货

电子软件交付,通过许可证密钥激活。 

 

快速导航

© Copyright 2000-2017  哲想方案(北京)科技有限公司版权所有  京ICP备09015132号  京公安网备11010802016897     地址:北京市海淀区西三环北路50号豪柏大厦C2座11层1105室