快速查找并修复使您的Web应用程序面临攻击风险的漏洞。享受更多的安心——无需花费更多有限的时间。
产品功能
发现与爬行
01、发现所有需要扫描的东西
Acunetix会自动创建所有网站、应用程序和API的列表,并使其保持新状态。
这意味着您不会留下未扫描且容易受到攻击的潜在入口点。
02、抓取应用程序的每一个角落
在大多数漏洞扫描程序无法到达的地方轻松扫描。
1、扫描SPA、脚本繁重的网站以及使用HTML5和JavaScript构建的应用程序
2、记录宏以自动扫描受密码保护和难以到达的区域
3、扫描其他扫描仪看不到的未链接文件
检测漏洞
发现所有需要扫描的东西
您没有时间了解世界上新的漏洞。使用Acunetix,您不必这样做。
检测超过7,000个漏洞,包括零日漏洞。
1、使用世界上准确的漏洞扫描程序查找您的安全漏洞
2、运行快速扫描,在发现漏洞时立即发现漏洞
3、同时扫描多个环境
4、通过混合DAST+IAST扫描获得更完整的覆盖范围
解决
快速修复漏洞
误报浪费你的时间。与您的开发人员无休止的反复交流也是如此。
通过自动化手动任务和减少猜测,使用Acunetix节省时间。
1、通过利用证明消除浪费时间的误报
2、查明需要修复的确切代码行
3、使开发人员能够自行解决安全问题
将安全融入开发
让开发人员更轻松地采取安全措施
Web应用程序安全不应该只是您的责任。它应该是每个人的。
通过集成到他们每天使用的工具中,使开发人员更容易找到、修复和防止漏洞。
1、一键送票给开发者
2、帮助开发者编写更安全的代码来防止漏洞
3、连接到您的CI/CD、问题跟踪器、WAF和其他工具
持续安全
随时保持安全
攻击随时可能发生。但这并不意味着你必须生活在恐惧中。
自动执行定期扫描——因此您可以确信自己会快速发现新漏洞。
1、安排持续的漏洞扫描
2、通过趋势图了解您的应用程序安全性如何随着时间的推移而提高
3、在使用WAF虚拟补丁修复漏洞的同时保持安全
将Web安全集成到您的开发过程中
通过集成到他们每天使用的工具中,使开发人员能够采取安全措施
AcuSensor技术
使用AcuSensor的交互式应用程序安全测试(IAST)
AcuSensor技术是Acunetix的附加组件。当您安装和使用AcuSensor时,Acunetix成为IAST解决方案(灰盒扫描器),而不仅仅是DAST扫描器(黑盒扫描器)。AcuSensor适用于以Node.js、PHP、Java(包括Spring框架)和ASP.NET编写的应用程序。
AcuSensor有什么好处?
当您使用AcuSensor时,Acunetix会在Acunetix扫描Web应用程序时从服务器后端获取附加信息。此附加信息引入了许多改进。
1、易于修复:AcuSensor连接到代码解释器或编译器(取决于语言),它可以识别源代码的确切行(对于PHP)或指向堆栈跟踪中的位置(对于Java和ASP.NET)。有了这些信息,您的开发人员可以更快地修复漏洞。
2、更高的精度:AcuSensor可以100%可靠地检测以下漏洞类型:SQL注入、代码注入、CRLF注入、目录遍历、任意文件创建/删除、电子邮件标头注入、文件上传、文件包含、文件篡改、PHP代码注入、和PHPSuperGlobals覆盖。
3、全覆盖:AcuSensor提供Web应用程序的完整目录列表,确保扫描整个Web应用程序,包括任何隐藏的、未链接的位置。此外,AcuSensor可以发现隐藏的GET和POST输入,即使这些输入并未在Web应用程序中使用。
AcuSensor如何工作?
Acunetix扫描器通过发送有效负载和分析响应来工作。当Web服务器接收到有效负载时,它会执行后端代码。如果安装了AcuSensor,它会分析执行的后端代码并向扫描仪提供附加信息。
1、您必须在服务器上安装所选语言的AcuSensor。AcuSensor可用于Linux/UNIX和Windows服务器。
2、AcuSensor直接与PHP解释器以及Java和ASP.NET字节码编译器一起工作。
3、您根本不需要修改源代码即可使用AcuSensor。与需要您在代码中编译传感器的IAST产品相比,这是一个主要优势,通常需要您更改构建过程或将软件依赖项添加到项目中。
何时使用IAST?
AcuSensor在特定环境中效果更佳,不推荐用于其他一些环境。要充分利用AcuSensor,请在正确的环境中使用它。
1、您应该在登台服务器上安装AcuSensor。这是执行IAST分析的位置。
2、您可以在虚拟机上安装AcuSensor,以作为CI/CD管道的一部分执行IAST分析。在这种情况下,需要将AcuSensor安装作为CI/CD管道的一部分。
3、我们不建议在生产服务器上安装AcuSensor。活动的AcuSensor会消耗一些资源,因此您的生产Web应用程序可能会运行得更慢。
4、AcuSensor目前可用于Node.js、PHP、ASP.NET和Java。如果您希望我们为您的技术创建AcuSensor,请告诉我们。
AcuMonitor服务
AcuMonitor是Acunetix提供的一项服务,它允许扫描程序检测带外漏洞。此服务由带外检查自动使用,无需安装或配置,只需简单注册本地版本即可。
AcuSensor有什么好处?
AcuMonitor增加了Acunetix扫描程序可以检测到的漏洞范围。如果没有AcuMonitor,就无法进行带外检测。此外,使用AcuMonitor检测到的漏洞绝不是误报。以下是Acunetix使用AcuMonitor检测到的一些漏洞:
1、盲目的服务器端XML/SOAP注入
2、盲XSS(延迟XSS)
3、主机头攻击
4、带外远程代码执行(OOBRCE)
5、带外SQL注入(OOBSQLi)
6、电子邮件标头注入
7、服务器端请求伪造(SSRF)
8、XML外部实体注入(XXE)
AcuMonitor如何工作?
在Acunetix扫描期间,您的Acunetix扫描器会将有效负载发送到测试的应用程序。以下是这些有效负载如何与AcuMonitor一起使用:
1、AcuMonitor是一项可公开访问的服务。它等待两种类型的连接:处理Acunetix漏洞有效负载后来自Web应用程序的连接和来自Acunetix扫描程序(在线或本地)的连接。
2、当Acunetix对带外漏洞执行测试时,有效负载旨在向AcuMonitor服务发送特定请求。在带外漏洞的情况下,这可以立即发生,也可以延迟发生,并且可以从应用程序的不同位置或完全不同的Web应用程序发生。
3、您的Acunetix扫描程序会定期轮询AcuMonitor以检查有效负载是否已到达服务。如果有,它会从AcuMonitor接收详细信息,从而100%确定地确认带外漏洞。
AcuMonitor安全吗?
AcuMonitor在数据传输和数据存储方面绝对安全。
1、AcuMonitor有效负载尽可能使用TLS。这可确保对AcuMonitor的连接进行加密。
2、AcuMonitor没有接收或存储足够的信息来识别漏洞的来源。扫描仪不会向AcuMonitor发送有关原始请求的任何信息。为了区分测试,AcuMonitor使用您在注册期间获得的AcuMonitorID和Acunetix生成的随机标识符。
3、向AcuMonitor发出的请求会存储一段有限的时间(至多7天),然后安全删除。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
