Web Application Scanning:查找，修复Web应用程序和API中的安全漏洞!

查找，修复Web应用程序和API中的安全漏洞。

 

强大的云解决方案，用于持续的Web应用程序发现和检测漏洞和错误配置

 

“我们发现Qualys非常适合我们评估数千个资源有限的网站。”

基础设施安全团队

微软经理

 

亮点

 

全面发现

在您的网络中找到并编目所有的网络应用，包括新的和未知的，并从少数应用扩展到数千个。使用Qualys WAS，您可以用自己的标签标记应用程序，然后使用这些标签控制报告并限制对扫描数据的访问。

 

 

深度扫描

WAS的动态深度扫描覆盖了您周边、内部环境和积极开发中的所有应用程序，甚至支持移动设备的API。它还涵盖公共云实例，并为您提供对诸如SQLi和XSS等漏洞的即时可见性。支持认证、复杂和渐进扫描。通过对SOAP和REST API服务的编程扫描，可以测试移动应用程序和现代移动架构使用的物联网服务和API。

 

 

DevSecOps工具

WAS可以将安全性插入到DevSecOps环境中的应用程序开发和部署中。使用WAS，您可以及早并且经常检测代码安全问题，测试质量保证并生成全面的报告。凭借其紧密的Qualys WAF集成，我们不断地监控和修补生产应用程序。

 

 

恶意软件检测

WAS扫描公司的网站，并通过行为分析识别和报告感染，包括零日威胁。详细的恶意软件感染报告随感染代码一起进行修复。中央仪表板显示扫描活动、受感染页面和恶意软件感染趋势，并允许用户直接从其界面启动操作。恶意软件检测功能通过可选附加组件提供。

 

 

查找并编目所有Web应用程序

由于糟糕的编码和错误的强化策略，Web应用程序经常受到漏洞和错误配置的困扰，几乎任何人都可以将其放到您的网络上。大型组织拥有成百上千个应用程序。Qualys WAS通过在整个环境中查找官方和“非官方”应用程序，并让您对它们进行分类，为您提供了可视性和控制能力。

 

• 通过持续、全面的应用程序发现和编目，在您的网络中查找已批准和未批准的Web应用程序

• 使用您自己的标签和可定制的Web应用资产标签组织您的数据和报告

 

 

按比例执行深入、详尽的应用程序扫描

不安全的Web应用程序为黑客提供了一个吸引人的攻击面和方便的进入IT环境的入口点。一旦被破坏，网络应用程序就会暴露出大量的商业机密数据。Qualys WAS以敏锐、彻底、精确的扫描保护您，可扩展到数千个Web应用程序，几乎没有误报。

 

• 通过渐进式扫描保护非常大的Web应用程序，使您可以逐步扫描，并绕过限制，防止您在一个扫描窗口中扫描整个应用程序。

• 检测OWASP前10大风险，如SQL注入、跨站点脚本（XSS）、跨站点请求伪造（CSRF）和未验证的重定向

• 测试物联网服务和移动应用以及基于API的企业对企业连接器，Qualys WAS的SOAP和REST API扫描功能

• 通过认证扫描实现最大的扫描覆盖率，包括使用Selenium的高级脚本，这是一个用于Web应用程序测试的开源浏览器自动化系统。

• 利用强大的调度功能设置扫描的准确开始时间和持续时间

• 通过多站点扫描和跨扫描设备池的多个应用程序扫描的自动负载平衡，更高效地执行扫描（空闲时间更少，覆盖范围更广）

• 识别并报告网站和应用程序中存在的恶意软件——包括躲避反病毒软件的类型，Qualys WAS的恶意软件检查模块是使用行为分析的标志，并会触发警报。

• 整合来自手动渗透测试解决方案和Qualys自动扫描的Web应用程序漏洞数据，全面了解您的Web应用程序安全状况

• 优先考虑补救措施并关注最关键的缺陷

 

 

使用可操作的数据可视化和记录Web应用的安全状态

Qualys提供无与伦比的Web应用程序安全性，并无缝集成QualysWAS和Qualys Web Application Firewall (WAF)，使您可以点击一次修补Web应用程序，包括移动应用程序和物联网服务。

 

• 通过同时对多个应用程序的扫描执行强大的分析，在几分钟内将结果从数据转换为见解并付诸行动

• 使用定制的报告模板定制如何将结果呈现给不同的受众

• 通过Qualys WAS的中央仪表盘，在单个屏幕上全面查看扫描、报告和漏洞

• 通过在迭代构建、测试和启动软件的同时，及早、频繁地捕获代码和配置错误，促进DevSecOps环境中敏捷、持续的应用程序开发和部署。

 

 

通过集成的WAF快速强化Web应用程序

随着组织重新调整和扩大其Web应用程序的覆盖范围以追求数字化转型创新，Qualys WAS的交互式报告功能为您提供了Web应用程序安全态势的大图，并让您深入了解细节。

 

• 通过单一控制台，您可以通过WAS检测应用程序漏洞，并快速保护它们免受WAF攻击，从而实现真正的集成Web应用程序安全性。

• 由于QualysCloud Platform保持所有内容同步，因此避免了试图将独立、孤立的解决方案粘在一起时带来的冗余和差距。

• 通过一组丰富、广泛的API将Web应用程序扫描数据集成到其他安全和合规系统中，如防火墙、SIEM和ERM解决方案。

 

 

由Qualys Cloud Platform提供支持

 

Single-pane-of-glass UI

在一个地方以秒为单位查看结果。有了AssetView，安全和合规专业人员和经理可以从一个仪表板界面获得其所有IT资产的完整且不断更新的视图。它完全可定制，让您看到大局，深入了解细节，并为队友和审计员生成报告。它直观、易于构建的动态仪表盘将您的所有IT安全和合规性数据从所有Qualys云应用程序聚合并关联到一个地方。凭借其强大的弹性搜索集群，您现在可以使用2秒钟的可视性搜索任何资产（内部部署、端点和所有云）。

 

 

集中和定制

集中发现多种评估类型的主机资产。组织主机资产组以匹配您的业务结构。通过端到端加密和强大的访问控制，保持安全数据的私密性。您可以通过企业单一登录（SSO）集中管理用户对Qualys帐户的访问。Qualys支持基于SAML2.0的身份服务提供者。

 

 

部署容易

从公共或私有云部署—完全由Qualys管理。有了Qualys，就没有服务器可供配置，没有软件可供安装，也没有数据库可供维护。您始终可以通过浏览器使用最新的Qualys功能，而无需设置特殊的客户端软件或VPN连接。

 

 

大规模的和可扩展的

按需求在全球范围内扩大规模。通过可扩展的基于XML的API与其他系统集成。您可以将Qualys用于广泛的安全和合规系统，如GRC、票务系统、SIEM、ERM和IDS。