在线漏洞扫描工具推荐——智恒专业级漏洞扫描系统WebPecker

Posted 北京智恒科技

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了在线漏洞扫描工具推荐——智恒专业级漏洞扫描系统WebPecker相关的知识,希望对你有一定的参考价值。

点击蓝字


背景现状

网站在信息化过程中扮演着极其重要的角色,政府、金融、电信等企事业单位均采用网站进行网上业务办理、信息查询、网上购物等。由于网站暴露在互联网上,就极易受到来自互联网的各类攻击,稍不留意将造成巨大的声誉影响,关键数据泄露,甚至导致严重的经济利益受损。而网站漏洞则是导致攻击的最主要因素之一,如何准确及时地发现漏洞,采取修复措施显得刻不容缓,等级保护中对信息系统采取定期的风险评估,指出对网站进行定期扫描检测也是必要防护措施之一。

Web 应用程序随着业务系统的庞大而复杂,由于开发人员的水平和经验参差不齐,相当一部分的开发人员在编写代码的时候,没有对用户的输入数据或者是页面中所携带的信息(如Cookie)进行必要的合法性判断,导致了攻击者可以利用这个编程漏洞来入侵数据库或者攻击Web 应用程序的使用者,由此获得一些重要的数据和利益。

从互联网兴起至今,利用漏洞攻击的网络安全事件不断,并且呈日趋严重的态势。每年全球因漏洞导致的经济损失巨大。企业在不断地寻求着漏洞的解决之道,不断尝试将由漏洞带来的风险降到最低,虽然也取得了一定成效,但是利用漏洞的攻击也在逐渐表现为多种不同的危害形式,新的攻击总是会出其不意。

随着互联网的发展及经济利益的驱动,黑客正逐渐将攻击重点转在Web 应用服务器上,如利用网站漏洞获取网站数据,通过网页挂马(目前木马的主要传播方式之一)等,由此危害了服务器安全及客户端安全。


Web 主要应用漏洞

Web 主要应用漏洞有:跨站攻击、注入攻击、敏感信息泄露、挂马攻击等。

在线漏洞扫描工具推荐——智恒专业级漏洞扫描系统WebPecker

图为Web应用漏洞排名

SQL 注入漏洞

一般是指在存在 SQL 注入漏洞的 Web 应用上,攻击者将恶意构造的 SQL 语句通过 web应用的输入点注入到后端数据库中执行,以达到恶意操作数据库数据的目的。

SQL注入是通过正常的Web应用服务器端口进行的,表面上与正常的数据请求没什么区别,如果不对这类恶意构造的SQL语句进行检测防御的话,很可能会因为SQL注入漏洞的存在导致数据库中的信息受到威胁,比如数据被删除,修改或增加伪造内容,挂马,留后门,甚至被进一步利用而拿到操作系统的管理员权限,后果不堪设想。


XSS 跨站脚本漏洞

XSS(Cross-Site Scripting)即跨站脚本攻击,这类攻击发生在客户端,是攻击者将恶意代码注入到Web客户端,从而影响到其他浏览此Web界面的用户。注入的恶意代码包括危险的html标签,客户端脚本。大多数网站都广泛存在这样的漏洞。XSS能做什么?钓鱼欺骗、挂马、盗取用户Cookie、Spam垃圾信息、DDOS攻击、针对性攻击、劫持用户Web行为、甚至爆发Web2.0蠕虫、勒索病毒传播。


CSRF 跨域脚本漏洞

CSRF(Cross-site request forgery)即跨站请求伪造,是一种对网站的恶意利用技术。尽管听起来像XSS,但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站,发起一次伪造的请求,而这样的请求一般是具有较大危害性。


传统扫描器的缺点

传统 web 漏洞扫描系统主要关注系统漏洞、web 服务组件漏洞,这些漏洞属于已知漏洞,通过打补丁或升级版本,或进行安全设置即可避免。web 应用漏洞属于业务系统或网站在编程过程中引起的漏洞,这些漏洞属于0day 漏洞,若不进行有效控制危害影响较大。  

传统web 扫描器或架构于windows 平台,并发性能等缺陷较大,扫描能力较弱。并且扫描报告漏报率和误报率较大,这给相关安全人员带来很大的困扰,在确认漏洞的过程中往往比较头疼。

1、应对 Web2.0 技术的先天缺陷

Web2.0 技术中,使用了很多新兴技术,如使用异步传输来传递网页数据。由于新兴技术的产生,导致了传统的网页扫描很难完整的检测到此类数据及网页接口。

2、检测不全面

传统的商业扫描器,以及绝大部分安全攻击工具,在Web 安全检测项目上都不全面,如cookie,header 字段的SQL 注入检测都未能实现。


解决方案——智恒科技网站安全应用扫描系统WebPecker 

智恒科技网站安全应用扫描系统WebPecker 是智恒科技网络安全实验室通过近十年的深入研究当前各类流行 Web 攻击手段(如网页挂马攻击、SQL 注入漏洞、跨站脚本攻击等)的经验而研发的专业漏洞扫描工具。WebPecker 自2007 年发布的V1.0。至今已经发展到V7.0,无论从检测的准确率和大规模检测的速度,在国内商用WEB 扫描系统中均遥遥领先,是国内政府、金融、教育、医疗、安全测评机构以及大型互联网公司必备应用漏洞扫描系统。

WebPecker 通过复杂的和全面的方法检测 Web 应用安全漏洞,通过并发审计技术对网站进行全面的、深入的、彻底的风险评估,综合性的规则库(本地漏洞库、ActiveX库、网站代码审计规则库等)以及业界领先的智能化技术及SQL 注入状态检测技术,使得相比国内外同类产品智能化程度更高,速度更快,结果更准确。

在线漏洞扫描工具推荐——智恒专业级漏洞扫描系统WebPecker

与其他传统扫描软件不同的是,WebPecker 对国内近几年新兴的 Web2.0 应用和技术密切关注,内嵌自动 javascript 解析器,支持复杂的 Web 应用(如 Ajax、SOAP、JavaScript、Flash 等),检测准确度可以达到99.5%。


产品形态

1、SAAS 版本

用户只需要登录www.webpecker.cn 自行注册账号即可使用,付费升级账号可下载扫描报告。

2、软件版本

用户需要一台高性能服务器,8核,16G内存以上,500G硬盘存储空间以上,运行CentOS 6.10 64位操作系统,按照使用说明书进行安装。

3、硬件版本

主要分为webpecker 2000、webpecker5000 型号。

2000 型号不支持子帐号管理,5000 型号适用于多级主管部门进行分级授权。

加入智恒网站安全保障计划


参与智恒WEB漏洞免费检测活动

在线检测网址:www.webpecker.cn

智恒科技

应用防护与审计专家


以上是关于在线漏洞扫描工具推荐——智恒专业级漏洞扫描系统WebPecker的主要内容,如果未能解决你的问题,请参考以下文章

推荐17款漏洞扫描工具漏洞评估软件

推荐渗透测试的10种漏洞扫描工具

在线的web漏洞扫描平台都有哪些

推荐几款常用的漏洞扫描工具

推荐两款SQL注入扫描工具|支持MongoDB

推荐一款适用CI的容器漏洞扫描工具