在线漏洞扫描工具推荐——智恒专业级漏洞扫描系统WebPecker
Posted 北京智恒科技
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了在线漏洞扫描工具推荐——智恒专业级漏洞扫描系统WebPecker相关的知识,希望对你有一定的参考价值。
点击蓝字
背景现状
网站在信息化过程中扮演着极其重要的角色,政府、金融、电信等企事业单位均采用网站进行网上业务办理、信息查询、网上购物等。由于网站暴露在互联网上,就极易受到来自互联网的各类攻击,稍不留意将造成巨大的声誉影响,关键数据泄露,甚至导致严重的经济利益受损。而网站漏洞则是导致攻击的最主要因素之一,如何准确及时地发现漏洞,采取修复措施显得刻不容缓,等级保护中对信息系统采取定期的风险评估,指出对网站进行定期扫描检测也是必要防护措施之一。
Web 应用程序随着业务系统的庞大而复杂,由于开发人员的水平和经验参差不齐,相当一部分的开发人员在编写代码的时候,没有对用户的输入数据或者是页面中所携带的信息(如Cookie)进行必要的合法性判断,导致了攻击者可以利用这个编程漏洞来入侵数据库或者攻击Web 应用程序的使用者,由此获得一些重要的数据和利益。
从互联网兴起至今,利用漏洞攻击的网络安全事件不断,并且呈日趋严重的态势。每年全球因漏洞导致的经济损失巨大。企业在不断地寻求着漏洞的解决之道,不断尝试将由漏洞带来的风险降到最低,虽然也取得了一定成效,但是利用漏洞的攻击也在逐渐表现为多种不同的危害形式,新的攻击总是会出其不意。
随着互联网的发展及经济利益的驱动,黑客正逐渐将攻击重点转在Web 应用服务器上,如利用网站漏洞获取网站数据,通过网页挂马(目前木马的主要传播方式之一)等,由此危害了服务器安全及客户端安全。
Web 主要应用漏洞
Web 主要应用漏洞有:跨站攻击、注入攻击、敏感信息泄露、挂马攻击等。
图为Web应用漏洞排名
SQL 注入漏洞
一般是指在存在 SQL 注入漏洞的 Web 应用上,攻击者将恶意构造的 SQL 语句通过 web应用的输入点注入到后端数据库中执行,以达到恶意操作数据库数据的目的。
SQL注入是通过正常的Web应用服务器端口进行的,表面上与正常的数据请求没什么区别,如果不对这类恶意构造的SQL语句进行检测防御的话,很可能会因为SQL注入漏洞的存在导致数据库中的信息受到威胁,比如数据被删除,修改或增加伪造内容,挂马,留后门,甚至被进一步利用而拿到操作系统的管理员权限,后果不堪设想。
XSS 跨站脚本漏洞
XSS(Cross-Site Scripting)即跨站脚本攻击,这类攻击发生在客户端,是攻击者将恶意代码注入到Web客户端,从而影响到其他浏览此Web界面的用户。注入的恶意代码包括危险的html标签,客户端脚本。大多数网站都广泛存在这样的漏洞。XSS能做什么?钓鱼欺骗、挂马、盗取用户Cookie、Spam垃圾信息、DDOS攻击、针对性攻击、劫持用户Web行为、甚至爆发Web2.0蠕虫、勒索病毒传播。
CSRF 跨域脚本漏洞
CSRF(Cross-site request forgery)即跨站请求伪造,是一种对网站的恶意利用技术。尽管听起来像XSS,但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站,发起一次伪造的请求,而这样的请求一般是具有较大危害性。
传统扫描器的缺点
传统 web 漏洞扫描系统主要关注系统漏洞、web 服务组件漏洞,这些漏洞属于已知漏洞,通过打补丁或升级版本,或进行安全设置即可避免。web 应用漏洞属于业务系统或网站在编程过程中引起的漏洞,这些漏洞属于0day 漏洞,若不进行有效控制危害影响较大。
传统web 扫描器或架构于windows 平台,并发性能等缺陷较大,扫描能力较弱。并且扫描报告漏报率和误报率较大,这给相关安全人员带来很大的困扰,在确认漏洞的过程中往往比较头疼。
1、应对 Web2.0 技术的先天缺陷
Web2.0 技术中,使用了很多新兴技术,如使用异步传输来传递网页数据。由于新兴技术的产生,导致了传统的网页扫描很难完整的检测到此类数据及网页接口。
2、检测不全面
传统的商业扫描器,以及绝大部分安全攻击工具,在Web 安全检测项目上都不全面,如cookie,header 字段的SQL 注入检测都未能实现。
解决方案——智恒科技网站安全应用扫描系统WebPecker
智恒科技网站安全应用扫描系统WebPecker 是智恒科技网络安全实验室通过近十年的深入研究当前各类流行 Web 攻击手段(如网页挂马攻击、SQL 注入漏洞、跨站脚本攻击等)的经验而研发的专业漏洞扫描工具。WebPecker 自2007 年发布的V1.0。至今已经发展到V7.0,无论从检测的准确率和大规模检测的速度,在国内商用WEB 扫描系统中均遥遥领先,是国内政府、金融、教育、医疗、安全测评机构以及大型互联网公司必备应用漏洞扫描系统。
WebPecker 通过复杂的和全面的方法检测 Web 应用安全漏洞,通过并发审计技术对网站进行全面的、深入的、彻底的风险评估,综合性的规则库(本地漏洞库、ActiveX库、网站代码审计规则库等)以及业界领先的智能化技术及SQL 注入状态检测技术,使得相比国内外同类产品智能化程度更高,速度更快,结果更准确。
与其他传统扫描软件不同的是,WebPecker 对国内近几年新兴的 Web2.0 应用和技术密切关注,内嵌自动 javascript 解析器,支持复杂的 Web 应用(如 Ajax、SOAP、JavaScript、Flash 等),检测准确度可以达到99.5%。
产品形态
1、SAAS 版本
用户只需要登录www.webpecker.cn 自行注册账号即可使用,付费升级账号可下载扫描报告。
2、软件版本
用户需要一台高性能服务器,8核,16G内存以上,500G硬盘存储空间以上,运行CentOS 6.10 64位操作系统,按照使用说明书进行安装。
3、硬件版本
主要分为webpecker 2000、webpecker5000 型号。
2000 型号不支持子帐号管理,5000 型号适用于多级主管部门进行分级授权。
加入智恒网站安全保障计划
参与智恒WEB漏洞免费检测活动
在线检测网址:www.webpecker.cn
智恒科技
应用防护与审计专家
以上是关于在线漏洞扫描工具推荐——智恒专业级漏洞扫描系统WebPecker的主要内容,如果未能解决你的问题,请参考以下文章