隨著云計(jì)算的采用和瀏覽器技術(shù)的進(jìn)步����,Web應(yīng)用程序和Web服務(wù)已經(jīng)成為許多業(yè)務(wù)流程的核心組件��,因此是攻擊者的有利可圖的目標(biāo)�。然而,超過(guò)70%的網(wǎng)站和網(wǎng)絡(luò)應(yīng)用程序包含可能導(dǎo)致敏感的公司數(shù)據(jù)���,信用卡��,客戶(hù)信息和個(gè)人身份信息(PII)被盜的漏洞�。
防火墻����,SSL和硬化網(wǎng)絡(luò)的功能,在面對(duì)Web應(yīng)用程序黑客的攻擊時(shí)都是徒勞的
網(wǎng)絡(luò)犯罪分子正致力于利用網(wǎng)絡(luò)應(yīng)用程序中的弱點(diǎn)����,例如電子商務(wù)平臺(tái)��,博客��,登錄頁(yè)面和其他動(dòng)態(tài)內(nèi)容。不安全的Web應(yīng)用程序和Web服務(wù)不僅為攻擊者提供對(duì)后端數(shù)據(jù)庫(kù)的訪問(wèn)�,還允許他們使用受到攻擊的站點(diǎn)執(zhí)行非法活動(dòng)。
Web應(yīng)用程序攻擊通過(guò)HTTP和HTTPS進(jìn)行;用于向合法用戶(hù)傳遞內(nèi)容的相同協(xié)議�����。然而�����,針對(duì)開(kāi)源軟件�����,例如 WordPress�、Drupal和Joomla!以及為商業(yè)或客戶(hù)建立的網(wǎng)頁(yè)應(yīng)用程序攻擊可以有與傳統(tǒng)的以網(wǎng)絡(luò)為基礎(chǔ)的攻擊相同或者更糟糕的效果���。
自動(dòng)化Web應(yīng)用程序安全的技術(shù)領(lǐng)導(dǎo)者
DeepScan技術(shù)允許精確爬取利用復(fù)雜技術(shù)(如SOAP / WSDL�����,SOAP / WCF���,REST / WADL�����,XML����,JSON�,Google Web Toolkit(GWT)和CRUD操作)的AJAX重型客戶(hù)端單頁(yè)應(yīng)用程序(SPA)
業(yè)界最先進(jìn),最強(qiáng)大的SQL注入和跨站點(diǎn)腳本測(cè)試���,包括基于DOM的跨站點(diǎn)腳本的高級(jí)檢測(cè)�����。
AcuSensor技術(shù)允許準(zhǔn)確掃描����,通過(guò)將黑盒掃描技術(shù)與來(lái)自放置在源代碼內(nèi)的傳感器的反饋組合����,進(jìn)一步降低假陽(yáng)性率����。
快速���,準(zhǔn)確��,易于使用
多線程,快速爬蟲(chóng)和掃描儀����,可以爬取數(shù)十萬(wàn)頁(yè)而不中斷。
最高的WordPress漏洞檢測(cè) - 掃描WordPress的安裝超過(guò)1200個(gè)已知的漏洞在WordPress的核心����,主題和插件。
易于使用的登錄序列記錄器��,允許自動(dòng)抓取和掃描復(fù)雜的密碼保護(hù)區(qū)域����,包括多步,單點(diǎn)登錄(SSO)和基于OAuth的網(wǎng)站�����。
輕松生成各種技術(shù)和合規(guī)報(bào)告,面向開(kāi)發(fā)商和業(yè)主����。
永久或訂閱許可
Acunetix本地以1年訂購(gòu)許可證或永久許可證的形式出售。標(biāo)準(zhǔn)版�����,專(zhuān)業(yè)版和企業(yè)版都有這兩種形式��。通常����,永久許可證在多年內(nèi)更具成本效益(降低總擁有成本)。
在1年許可證的整個(gè)期間免費(fèi)提供支持和版本升級(jí)��,但是它僅包括在永久許可證的第一年���。為了將此期間的支持和免費(fèi)版本升級(jí)為一年或多年���,應(yīng)與永久許可證一起購(gòu)買(mǎi)維護(hù)協(xié)議。
標(biāo)準(zhǔn)版x2并發(fā)掃描(無(wú)限站點(diǎn)/服務(wù)器)
標(biāo)準(zhǔn)版是Acunetix的入門(mén)級(jí)演示,可用于掃描無(wú)限數(shù)量的網(wǎng)站��,限制為從同一單一固定安裝計(jì)算機(jī)同時(shí)掃描2次��。典型的標(biāo)準(zhǔn)版客戶(hù)是一個(gè)負(fù)責(zé)安全狀態(tài)和合規(guī)性的單個(gè)工作站用戶(hù)����,他希望在一些優(yōu)秀的開(kāi)發(fā)人員報(bào)告和Acunetix現(xiàn)在所知的修復(fù)提示的支持下進(jìn)行獨(dú)立的筆測(cè)試。
從v11的推出�����,標(biāo)準(zhǔn)版替換和繼續(xù)從以前命名的企業(yè)產(chǎn)品����。術(shù)語(yǔ)Enterprise現(xiàn)在保留用于在規(guī)模的另一端的較大的多用戶(hù)和可選地多發(fā)動(dòng)機(jī)許可證�����。 Enterprise(x2并發(fā)掃描)版v10.5或更早版本的許可證將根據(jù)有效的維護(hù)或訂閱協(xié)議自動(dòng)升級(jí)到v11中的標(biāo)準(zhǔn)版���,并且產(chǎn)品部件號(hào)保持不變���。
Pro Edition x5并發(fā)掃描
Pro Edition x5并發(fā)掃描許可證是高級(jí)用戶(hù)需要更詳細(xì)的合規(guī)報(bào)告和與軟件生產(chǎn)列車(chē)集成的理想選擇。 Pro Edition支持從同一單個(gè)固定安裝計(jì)算機(jī)進(jìn)行5個(gè)并發(fā)掃描����。
Pro Edition客戶(hù)可以是外包或保密的安全專(zhuān)業(yè)人員�,領(lǐng)導(dǎo)更高級(jí)的項(xiàng)目�����,例如在組織內(nèi)設(shè)置專(zhuān)業(yè)的應(yīng)用程序安全漏洞管理程序�。該用戶(hù)將負(fù)責(zé)安全狀態(tài)和合規(guī)性。 Pro Edition可以訪問(wèn)許多企業(yè)功能�����,例如:能夠?qū)Y產(chǎn)目標(biāo)進(jìn)行分組和分類(lèi)���,以獲得更好的漏洞補(bǔ)救優(yōu)先級(jí);與軟件開(kāi)發(fā)生命周期(SDLC)項(xiàng)目管理或問(wèn)題跟蹤系統(tǒng)的集成;全面的合規(guī)性報(bào)告;與頂級(jí)Web應(yīng)用程序防火墻(WAF)集成;信息趨勢(shì)圖���,供高層管理人員使用。
從v11的推出�����,Pro版本替代并繼續(xù)從以前命名的顧問(wèn)5并發(fā)掃描產(chǎn)品���。顧問(wèn)(x5并發(fā)掃描)版v10.5或更早版本的許可證將根據(jù)有效的維護(hù)或訂閱協(xié)議自動(dòng)升級(jí)到v11中的專(zhuān)業(yè)版���,并且產(chǎn)品部件號(hào)保持不變�。
企業(yè)版x10并發(fā)掃描
企業(yè)版x10并發(fā)掃描增加了多用戶(hù)���,協(xié)作團(tuán)隊(duì)功能����,還可以控制多個(gè)Acunetix掃描引擎�����。
由于在大量從事應(yīng)用程序開(kāi)發(fā)的組織中開(kāi)發(fā)的威脅和漏洞管理程序�,客戶(hù)可以擴(kuò)展到多個(gè)用戶(hù),包括高級(jí)管理��,治理���,風(fēng)險(xiǎn)和合規(guī)(GRC)人員。企業(yè)版客戶(hù)擁有完全基于角色的多用戶(hù)團(tuán)隊(duì)支持���,并能夠部署由中央系統(tǒng)管理的多個(gè)掃描引擎��,而入門(mén)級(jí)企業(yè)3,5,10用戶(hù)許可證的單一固定安裝包括中央系統(tǒng)和掃描引擎安裝����。企業(yè)版可以擴(kuò)展從3到無(wú)限的用戶(hù)和最多50 Acunetix掃描引擎。
HTML5和JavaScript安全性的最高抓取和分析率
任何掃描期間的基本過(guò)程是掃描器正確爬網(wǎng)應(yīng)用程序的能力�。 Acunetix具有DeepScan技術(shù);一個(gè)HTML5抓取和掃描引擎,通過(guò)執(zhí)行和分析JavaScript���,完全復(fù)制瀏覽器內(nèi)的用戶(hù)交互����。 DeepScan允許精確爬行AJAX重的客戶(hù)端單頁(yè)應(yīng)用程序(SPA)���,這些應(yīng)用程序利用了AngularJS���,EmberJS和Google Web Toolkit等技術(shù)。
使用DeepScan技術(shù)進(jìn)行精確爬行和掃描
Acunetix包括Acunetix DeepScan技術(shù)��,它允許掃描儀穩(wěn)健地測(cè)試任何應(yīng)用程序�,無(wú)論它寫(xiě)的是什么Web技術(shù)。
DeepScan的核心是一個(gè)完全自動(dòng)化的Web瀏覽器����,可以理解和與復(fù)雜的Web技術(shù)(如AJAX�,SOAP / WSDL,SOAP / WCF,REST / WADL��,XML,JSON,Google Web Toolkit(GWT)和CRUD操作就像一個(gè)普通的瀏覽器。這允許Acunetix測(cè)試Web應(yīng)用程序���,就像它在用戶(hù)的瀏覽器中運(yùn)行,允許掃描儀與復(fù)雜的控件無(wú)縫地交互�,就像用戶(hù)一樣,顯著增加了掃描儀的Web應(yīng)用程序的覆蓋�。
DeepScan已進(jìn)一步優(yōu)化,用于分析在Ruby on Rails和Java Frameworks(包括Java Server Faces(JSF)��,Spring和Struts)上開(kāi)發(fā)的網(wǎng)站和Web應(yīng)用程序����。
無(wú)障礙的經(jīng)過(guò)身份驗(yàn)證的Web應(yīng)用程序測(cè)試
測(cè)試您的網(wǎng)站和Web應(yīng)用程序的認(rèn)證區(qū)域?qū)τ诖_保完全測(cè)試覆蓋率是絕對(duì)至關(guān)重要的。 Acunetix可以使用登錄序列記錄器記錄登錄序列�����,自動(dòng)測(cè)試驗(yàn)證區(qū)域��。 登錄序列記錄器使得記錄一系列掃描器可以重新播放以對(duì)頁(yè)面進(jìn)行驗(yàn)證的操作變得快速和容易��。 登錄序列記錄器還可以記錄一系列限制; 使其輕松在幾次點(diǎn)擊中精確限制掃描的范圍�����。
Acunetix登錄序列記錄器支持大量的身份驗(yàn)證機(jī)制��,包括
•多步/自定義驗(yàn)證方案
•單點(diǎn)登錄身份驗(yàn)證
•CAPTCHA
•多因素認(rèn)證
惡意軟件URL檢測(cè)
Acunetix包含惡意軟件檢測(cè)服務(wù)����,可檢測(cè)與已知托管惡意軟件或已知用于網(wǎng)絡(luò)釣魚(yú)攻擊的外部網(wǎng)站的鏈接。
這樣的鏈接可以指示被掃描的站點(diǎn)已經(jīng)被攻破�,或者以某種方式攻擊者已經(jīng)設(shè)法將URL注入到惡意站點(diǎn)。 也可能表示您的網(wǎng)站連結(jié)到的合法網(wǎng)站已遭到入侵�����,并托管惡意軟體�����。
最高SQL注入和XSS檢測(cè)率
整體和準(zhǔn)確的漏洞檢測(cè)在于能夠檢測(cè)從最明顯的SQL注入,XSS和超過(guò)500其他類(lèi)型的Web應(yīng)用程序漏洞的任何東西��。 Acunetix是檢測(cè)最大種類(lèi)的SQL注入和XSS漏洞的行業(yè)領(lǐng)導(dǎo)者����,包括帶外SQL注入和基于DOM的XSS����。
深入的SQL注入和跨站點(diǎn)腳本(XSS)漏洞測(cè)試
Acunetix嚴(yán)格測(cè)試數(shù)百個(gè)Web應(yīng)用程序漏洞�����,包括SQL注入和跨站點(diǎn)腳本。 SQL注入是最古老和最流行的軟件缺陷之一;它允許攻擊者修改SQL查詢(xún)以獲取對(duì)數(shù)據(jù)庫(kù)中的數(shù)據(jù)的訪問(wèn)�。跨站點(diǎn)腳本攻擊允許攻擊者在訪問(wèn)者的瀏覽器中執(zhí)行惡意腳本;可能導(dǎo)致該用戶(hù)的模擬����。
當(dāng)涉及到動(dòng)態(tài)應(yīng)用程序安全測(cè)試(DAST)時(shí)����,雖然掃描程序可以運(yùn)行的測(cè)試次數(shù)很重要,但它是它能夠很好地抓取應(yīng)用程序的次要 - 如果您無(wú)法抓取它,您不能掃描它��! Acunetix DeepScan技術(shù)能夠爬取復(fù)雜的客戶(hù)端單頁(yè)應(yīng)用程序(SPA)��,即使在客戶(hù)端漏洞(如基于DOM的XSS漏洞)中也能確保最高的漏洞檢測(cè)率。
高級(jí)自動(dòng)化基于DOM的XSS脆弱性測(cè)試
基于DOM的XSS是一種高級(jí)類(lèi)型的XSS攻擊,當(dāng)Web應(yīng)用程序的客戶(hù)端腳本將用戶(hù)提供的數(shù)據(jù)寫(xiě)入文檔對(duì)象模型(DOM)時(shí)�,這種攻擊成為可能�。 隨后由web應(yīng)用從DOM讀取數(shù)據(jù)并將其輸出到瀏覽器��。 如果數(shù)據(jù)被不正確地處理,攻擊者可以注入有效載荷��,該有效載荷將作為DOM的一部分存儲(chǔ)并在從DOM讀回?cái)?shù)據(jù)時(shí)執(zhí)行。
基于DOM的XSS通常是客戶(hù)端攻擊�����,攻擊者的有效載荷從不會(huì)發(fā)送到服務(wù)器�。 這使得它更難以檢測(cè)。 Acunetix可以掃描各種高級(jí)的基于DOM的XSS����,并且還可以在瀏覽器的DOM內(nèi)部移動(dòng)時(shí)提供注入的有效內(nèi)容的堆棧跟蹤。
檢測(cè)盲XSS����,XXE,SSRF,主機(jī)頭攻擊和電子郵件頭注入
當(dāng)嘗試檢測(cè)二級(jí)漏洞時(shí)�,傳統(tǒng)的檢測(cè)漏洞的方法不足; 即測(cè)試在測(cè)試期間不提供對(duì)掃描器的響應(yīng)的漏洞��。 檢測(cè)二級(jí)漏洞需要中間服務(wù); Acunetix與其內(nèi)置的AcuMonitor技術(shù)相結(jié)合�����,可以自動(dòng)檢測(cè)此類(lèi)漏洞��,并對(duì)運(yùn)行掃描的用戶(hù)透明���。
AcuMonitor允許檢測(cè)漏洞��,例如盲XSS��,XML外部實(shí)體注入(XXE)��,服務(wù)器端請(qǐng)求偽造(SSRF),主機(jī)頭攻擊�,電子郵件頭注入和密碼重置中毒���。
最低假陽(yáng)性保證有效的Web應(yīng)用程序安全
Acunetix獨(dú)特的AcuSensor技術(shù)通過(guò)在源代碼中部署傳感器的交互式應(yīng)用程序安全測(cè)試(IAST)來(lái)增強(qiáng)定期動(dòng)態(tài)掃描�。 AcuSensor將在源代碼執(zhí)行期間將反饋中繼到掃描儀���。在Web應(yīng)用安全測(cè)試中��,黑盒和白盒測(cè)試(通常稱(chēng)為灰盒測(cè)試)的組合進(jìn)一步增強(qiáng)了掃描器的檢測(cè)率�。
使用AcuSensor進(jìn)行交互式安全測(cè)試
傳統(tǒng)的Web應(yīng)用程序安全測(cè)試(黑盒測(cè)試)不會(huì)在執(zhí)行過(guò)程中看到代碼的行為�����,而源代碼分析也不會(huì)總是理解當(dāng)代碼執(zhí)行時(shí)會(huì)發(fā)生什么�。 AcuSensor將這兩種方法結(jié)合在一起,并能夠?qū)崿F(xiàn)顯著更高的漏洞檢測(cè)�����。通常�����,只有在報(bào)告數(shù)據(jù)庫(kù)錯(cuò)誤或通過(guò)“盲目”技術(shù)時(shí)才能找到SQL注入漏洞。使用AcuSensor�,可以在所有SQL查詢(xún)中檢測(cè)到SQL注入漏洞;包括INSERT語(yǔ)句。
Pinpoint漏洞的確切位置
AcuSensor技術(shù)可以指示漏洞所在的代碼行����,并報(bào)告其他調(diào)試信息。這極大地提高了修復(fù)效率�����,并使開(kāi)發(fā)人員修復(fù)漏洞的任務(wù)更容易����。
后端文件抓取
AcuSensor可以運(yùn)行后端抓取,將通過(guò)Web服務(wù)器可訪問(wèn)的所有文件提供給掃描器;即使這些文件沒(méi)有通過(guò)前端應(yīng)用程序鏈接�。這確保100%的應(yīng)用程序覆蓋,并警告用戶(hù)任何后門(mén)文件可能已被惡意上傳的攻擊者����。
最低假陽(yáng)性率
檢測(cè)不存在的漏洞是一個(gè)應(yīng)對(duì)的噩夢(mèng)。 假陽(yáng)性降低了掃描儀的信心�,浪費(fèi)了筆試和開(kāi)發(fā)人員試圖找到并修復(fù)漏洞的時(shí)間。 Acunetix在業(yè)界具有最低的假陽(yáng)性率�,為您的安全和開(kāi)發(fā)團(tuán)隊(duì)節(jié)省了寶貴的時(shí)間。
AcuSensor技術(shù)可以通過(guò)在執(zhí)行應(yīng)用程序的源代碼期間執(zhí)行額外的測(cè)試���,自動(dòng)驗(yàn)證通過(guò)黑盒掃描技術(shù)發(fā)現(xiàn)的漏洞���。 這允許Acunetix掃描在使用AcuSensor時(shí)提供接近0%的假陽(yáng)性率。
使用AcuSensor�����,您能夠以100%的準(zhǔn)確率檢測(cè)到關(guān)鍵漏洞
漏洞管理和監(jiān)管合規(guī)報(bào)告
漏洞管理(VM)是發(fā)現(xiàn)�����,測(cè)量和補(bǔ)救漏洞的持續(xù)努力���。組織使用漏洞管理來(lái)避免應(yīng)用程序和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的利用所帶來(lái)的威脅�����。 Acunetix將高級(jí)漏洞管理功能作為其核心���,使其易于啟動(dòng)您的漏洞管理程序,并將掃描器的結(jié)果集成到其他工具和平臺(tái)中。
您的漏洞管理計(jì)劃在一個(gè)合并的視圖
它需要團(tuán)隊(duì)合作和協(xié)作來(lái)建立和維護(hù)一個(gè)偉大的安全計(jì)劃�。 Acunetix多用戶(hù),多角色功能使您的團(tuán)隊(duì)能夠靈活和高效地獲得僅對(duì)他們需要的資源的訪問(wèn)��。漏洞管理功能允許您的團(tuán)隊(duì)通過(guò)將與應(yīng)用程序安全程序相關(guān)的所有內(nèi)容存儲(chǔ)在單一的中央位置�����,輕松地保持對(duì)整個(gè)應(yīng)用程序組合中的安全狀態(tài)的集成視圖�。
Acunetix不再需要在多個(gè)PDF,電子表格和其他信息孤島中管理應(yīng)用程序安全程序���,而是允許您持續(xù)自動(dòng)保護(hù)應(yīng)用程序組合�,同時(shí)從一個(gè)統(tǒng)一視圖管理風(fēng)險(xiǎn)暴露���。
跟蹤問(wèn)題����,而不是PDF
開(kāi)發(fā)團(tuán)隊(duì)管理問(wèn)題跟蹤器中的工作負(fù)載���,以修復(fù)錯(cuò)誤�,跟蹤新功能的進(jìn)度并管理截止日期�����。 對(duì)于具有“300頁(yè)P(yáng)DF”的開(kāi)發(fā)人員來(lái)說(shuō),充滿(mǎn)需要注意的安全問(wèn)題是適得其反的��,并產(chǎn)生了溝通障礙��。
Acunetix與Atlassian JIRA����,GitHub和Microsoft Team Foundation Server(TFS)集成��,將Acunetix發(fā)現(xiàn)的漏洞納入開(kāi)發(fā)人員手中��,同時(shí)仍然為管理提供他們所需的歷史數(shù)據(jù)��,趨勢(shì)和優(yōu)先級(jí)工具����,以便提出問(wèn)題并制定策略 決定。
將安全問(wèn)題集成到軟件開(kāi)發(fā)生命周期是任何漏洞管理程序成功的關(guān)鍵����,因?yàn)樗ㄟ^(guò)保持開(kāi)發(fā)人員在同一套工具中所需要做的一切,減少了修復(fù)問(wèn)題的時(shí)間和精力�。
高級(jí)管理和合規(guī)報(bào)告
Acunetix允許您輕松生成各種詳細(xì)的技術(shù)�����,管理和合規(guī)報(bào)告��,如PCI DSS���,OWASP Top 10,ISO 27001和HIPAA���。
這些報(bào)告允許您在內(nèi)部與管理層和監(jiān)管機(jī)構(gòu)共享安全發(fā)現(xiàn)�。 報(bào)告可以集中在單個(gè)掃描���,特定目標(biāo)或甚至任意組的掃描或目標(biāo)�����。
WordPress安全掃描功能
互聯(lián)網(wǎng)上超過(guò)24%的網(wǎng)站運(yùn)行WordPress��,內(nèi)容管理系統(tǒng)(CMS)市場(chǎng)占有60%的份額; WordPress安全性正在成為組織安全態(tài)勢(shì)中越來(lái)越重要的因素���。盡管WordPress的核心設(shè)計(jì)考慮了安全性,但是對(duì)于擴(kuò)展WordPress生態(tài)系統(tǒng)的成千上萬(wàn)的插件來(lái)說(shuō)�����,這并不是說(shuō)。不幸的是��,數(shù)千個(gè)WordPress插件包含高度嚴(yán)重的漏洞�。除非易受攻擊的插件被更新或禁用,否則它們可能允許攻擊者輕易地破壞網(wǎng)站的完整性和可用性�,訪問(wèn)WordPress管理界面和數(shù)據(jù)庫(kù),以及欺騙網(wǎng)站并欺騙用戶(hù)進(jìn)行網(wǎng)絡(luò)釣魚(yú)攻擊�����,或使用網(wǎng)站分發(fā)惡意軟件���。
掃描易受攻擊的WordPress插件
Acunetix識(shí)別WordPress安裝,并將為1200多個(gè)流行的WordPress插件��,以及對(duì)WordPress核心漏洞的其他一些漏洞測(cè)試啟動(dòng)安全測(cè)試����。此外,Acunetix還將進(jìn)行其他WordPress特定的配置測(cè)試�����,如弱WordPress管理員密碼,WordPress用戶(hù)名枚舉�,wp-config.php備份文件,惡意軟件偽裝成插件和舊版本的插件���。
檢測(cè)到WordPress插件�,列在WordPress插件知識(shí)庫(kù)中���,包括描述��,檢測(cè)到的版本號(hào)和要更新的插件的最新版本����。類(lèi)似的檢查也在其他內(nèi)容管理系統(tǒng)上執(zhí)行���,如Joomla���!和Drupal。
WordPress配置文件披露
雖然大多數(shù)常見(jiàn)配置設(shè)置可通過(guò)WordPress管理界面使用����,但WordPress管理員可能需要直接更改wp-config.php中的某些設(shè)置。這通常通過(guò)首先創(chuàng)建已知工作配置的備份���,然后在文本編輯器中手動(dòng)更改文件來(lái)完成��。但是��,備份文件對(duì)任何能夠猜測(cè)備份文件名的人都可用����。
用戶(hù)名枚舉和弱密碼猜測(cè)
Acunetix運(yùn)行測(cè)試WordPress帳戶(hù)的用戶(hù)名枚舉。枚舉用戶(hù)名使攻擊者在攻擊您的WordPress安裝時(shí)有一個(gè)開(kāi)頭�,因?yàn)楣粽邔⒂斜匾男畔?lái)啟動(dòng)針對(duì)枚舉用戶(hù)名的密碼字典攻擊。
基于掃描期間識(shí)別的用戶(hù)���,Acunetix還將嘗試檢測(cè)枚舉用戶(hù)是否使用基于密碼列表的弱密碼以及其他組合,包括使用leetspeak����。
不只是WordPress
除了檢測(cè)易受攻擊版本的WordPress核心,插件和配置錯(cuò)誤����,Acunetix也可以檢測(cè)Joomla中的漏洞! 和Drupal安裝���。 按照WordPress���,Joomla�! 和Drupal是最廣泛部署的內(nèi)容管理系統(tǒng)(CMS)����,并有自己的漏洞和錯(cuò)誤配置的份額。
高級(jí)功能:筆測(cè)試工具和WAF配置
Acunetix包括用于滲透測(cè)試人員進(jìn)一步自動(dòng)測(cè)試��,與外部工具集成以及幫助測(cè)試業(yè)務(wù)邏輯Web應(yīng)用程序的工具的高級(jí)工具�。
進(jìn)一步自動(dòng)掃描
使用集成的HTTP編輯器從自動(dòng)爬網(wǎng)或掃描中導(dǎo)出HTTP請(qǐng)求,修改或創(chuàng)建HTTP請(qǐng)求并分析Web服務(wù)器的響應(yīng)���。
攔截�,記錄和修改使用Traps支持正則表達(dá)式并使用集成的HTTP Sniffer實(shí)時(shí)發(fā)送到Web應(yīng)用程序和從Web應(yīng)用程序發(fā)送的HTTP流量��。通過(guò)使用捕獲的流量來(lái)擴(kuò)展手動(dòng)HTTP流量檢查�,以構(gòu)建可用作自動(dòng)掃描的一部分的自定義爬網(wǎng)結(jié)構(gòu)。
Fuzz HTTP請(qǐng)求���,使用各種內(nèi)置的模糊器測(cè)試驗(yàn)證和處理無(wú)效或隨機(jī)數(shù)據(jù)����。使用支持正則表達(dá)式的HTTP Fuzzer過(guò)濾器過(guò)濾模糊HTTP請(qǐng)求。
導(dǎo)出自動(dòng)掃描的盲注SQL注入漏洞���,并使用Blind SQL Injector執(zhí)行自動(dòng)化數(shù)據(jù)庫(kù)數(shù)據(jù)提取���。
從內(nèi)置HTTP Editor導(dǎo)入手動(dòng)抓取數(shù)據(jù),第三方工具(如Telerik Fiddler�����,Portswigger BurpSuite和HAR(HTTP歸檔)文件)����。
自動(dòng)Web應(yīng)用程序防火墻(WAF)配置
有時(shí),它不可能推出一個(gè)高嚴(yán)重性漏洞的修復(fù)��,然后��。 Acunetix與Imperva SecureSphere��,F(xiàn)5 BIG-IP應(yīng)用程序安全管理器和FortiWeb WAF集成����,可以自動(dòng)創(chuàng)建相應(yīng)的Web應(yīng)用程序防火墻規(guī)則��,以保護(hù)Web應(yīng)用程序免受針對(duì)掃描程序發(fā)現(xiàn)的漏洞的攻擊�。 這允許您臨時(shí)防止利用高嚴(yán)重性漏洞���,直到您能夠解決它們。
集成和可擴(kuò)展性
Acunetix具有強(qiáng)大的命令行界面(CLI)和RESTful應(yīng)用程序編程接口(REST API)��。 REST API允許使用常規(guī)HTTP請(qǐng)求以簡(jiǎn)單���,編程方式訪問(wèn)和管理Acunetix中的掃描目標(biāo)��,掃描�����,漏洞��,報(bào)告和其他資源��。 API的端點(diǎn)直觀而強(qiáng)大��,允許您輕松檢索信息和執(zhí)行操作�����。
Acunetix Online的網(wǎng)絡(luò)安全掃描器的主要特點(diǎn)
全面的安全審計(jì)需要詳細(xì)檢查面向公眾的網(wǎng)絡(luò)資產(chǎn)的邊界���。 Acunetix在Acunetix Online中集成了受歡迎的OpenVAS掃描器�����,提供了一個(gè)全面的外圍網(wǎng)絡(luò)安全掃描����,可以與您的Web應(yīng)用程序安全測(cè)試無(wú)縫集成���,這一切都來(lái)自一個(gè)簡(jiǎn)單易用的簡(jiǎn)單的基于云的服務(wù)�����。
掃描周邊網(wǎng)絡(luò)服務(wù)
不安全的外圍網(wǎng)絡(luò)是大多數(shù)數(shù)據(jù)泄露的原因����。因此����,外圍是網(wǎng)絡(luò)中最重要的區(qū)域之一,以防止可能危及網(wǎng)絡(luò)服務(wù)的安全性或可用性的漏洞�����,配置錯(cuò)誤和其他安全威脅����。
Acunetix Online擴(kuò)展了您的網(wǎng)絡(luò)對(duì)外部威脅的可見(jiàn)性,并為您提供了您的網(wǎng)絡(luò)外圍的視角�,就像攻擊者會(huì)看到的。
每個(gè)網(wǎng)絡(luò)掃描最初都將以掃描目標(biāo)的IP地址的端口掃描開(kāi)始�,以便發(fā)現(xiàn)打開(kāi)的端口和正在運(yùn)行的服務(wù)。然后���,對(duì)打開(kāi)的端口進(jìn)行超過(guò)35,000個(gè)已知漏洞和錯(cuò)誤配置的測(cè)試�。
網(wǎng)絡(luò)漏洞測(cè)試
在掃描期間執(zhí)行的網(wǎng)絡(luò)漏洞測(cè)試包括評(píng)估檢測(cè)到的設(shè)備(如路由器����,防火墻,交換機(jī)和負(fù)載均衡器)的安全測(cè)試; 測(cè)試FTP�����,IMAP�,數(shù)據(jù)庫(kù)服務(wù)器,POP3�����,Socks,SSH和Telnet等常用協(xié)議上的弱密碼; 測(cè)試DNS相關(guān)的服務(wù)器漏洞����,如DNS區(qū)域轉(zhuǎn)移攻擊,開(kāi)放遞歸DNS攻擊和DNS緩存中毒攻擊; 測(cè)試配置不當(dāng)?shù)拇矸?wù)器��,弱SNMP社區(qū)字符串����,弱TLS / SSL密碼和許多其他安全漏洞。
然后�����,掃描的結(jié)果將顯示在Acunetix在線儀表板內(nèi)��,從中可以輕松生成網(wǎng)絡(luò)安全報(bào)告��。
檢測(cè)網(wǎng)絡(luò)安全錯(cuò)誤配置
Acunetix在線可以檢測(cè)廣泛的網(wǎng)絡(luò)安全錯(cuò)誤配置����,可能導(dǎo)致敏感數(shù)據(jù)泄露,拒絕服務(wù)或甚至危及主機(jī)���。 測(cè)試包括通過(guò)FTP測(cè)試匿名FTP訪問(wèn)和可寫(xiě)目錄���,配置不當(dāng)?shù)拇矸?wù)器,弱SNMP社區(qū)字符串���,弱TLS / SSL密碼和許多其他安全漏洞�。
Acunetix(內(nèi)部)許可
Acunetix(預(yù)置)可用作標(biāo)準(zhǔn)版2并發(fā)掃描����,Pro Edition 5并發(fā)掃描和企業(yè)版10并發(fā)掃描。
功能一覽
| |
Standard
|
Pro
|
Enterprise
|
|
Architecture and Scale
|
|
無(wú)限制URL掃描
|
√
|
√
|
√
|
|
多用戶(hù)
|
|
|
√
|
|
用戶(hù)角色和特權(quán)
|
|
|
√
|
|
用戶(hù)數(shù)量
|
1
|
1
|
3 – Unlimited
|
|
多掃描引擎
|
|
|
√
|
|
最大數(shù)量的掃描引擎
|
1
|
1
|
1 – 50
|
|
每個(gè)License的總并發(fā)掃描
|
2
|
5
|
10 – 100
|
| |
Standard
|
Pro
|
Enterprise
|
|
Acunetix漏洞評(píng)定引擎
|
|
掃描3000+網(wǎng)絡(luò)應(yīng)用程序漏洞
|
√
|
√
|
√
|
|
Acunetix DeepScan Crawler
|
√
|
√
|
√
|
|
Acunetix AcuSensor (Gray-box 漏洞測(cè)試)
|
√
|
√
|
√
|
|
Acunetix AcuMonitor (Out-of-band漏洞測(cè)試)
|
√
|
√
|
√
|
|
Acunetix 登錄序列記錄
|
√
|
√
|
√
|
|
惡意軟件URL檢測(cè)
|
√
|
√
|
√
|
|
手動(dòng)的筆測(cè)試工具套件
|
√
|
√
|
√
|
|
掃描上線網(wǎng)絡(luò)應(yīng)用程序資產(chǎn)
|
√
|
√
|
√
|
|
掃描內(nèi)部網(wǎng)絡(luò)應(yīng)用程序資產(chǎn)
|
√
|
√
|
√
|
| |
Standard
|
Pro
|
Enterprise
|
|
關(guān)鍵報(bào)告和漏洞嚴(yán)重性分類(lèi)
|
|
關(guān)鍵報(bào)告(受影響的項(xiàng)目�����、Quick�、開(kāi)發(fā)商、執(zhí)行)
|
√
|
√
|
√
|
|
OWASP前十個(gè)報(bào)告
|
√
|
√
|
√
|
|
CVSS(普遍的漏洞搜索系統(tǒng))for Severity
|
√
|
√
|
√
|
|
補(bǔ)救建議
|
√
|
√
|
√
|
|
合規(guī)報(bào)告
|
|
√
|
√
|
| |
Standard
|
Pro
|
Enterprise
|
|
集中管理和可擴(kuò)展性
|
| |
|
|
|
|
儀表板
|
√
|
√
|
√
|
|
計(jì)劃掃描
|
√
|
√
|
√
|
|
持續(xù)掃描
|
|
√
|
√
|
|
目標(biāo)組
|
|
√
|
√
|
|
分配目標(biāo)業(yè)務(wù)關(guān)鍵性
|
|
√
|
√
|
|
按業(yè)務(wù)關(guān)鍵性排序
|
|
√
|
√
|
|
趨勢(shì)圖
|
|
√
|
√
|
|
WAF虛擬補(bǔ)丁**
|
|
√
|
√
|
|
問(wèn)題跟蹤系統(tǒng)集成***
|
|
√
|
√
|
|
為用戶(hù)分配管理目標(biāo)
|
|
|
√
|
|
集成API+
|
|
|
√
|
* PCI DSS�����,ISO / IEC 27001; 健康保險(xiǎn)攜帶和責(zé)任法案(HIPAA); WASC威脅分類(lèi); Sarbanes-Oxley; NIST特別出版物800-53(用于FISMA); DISA-STIG應(yīng)用程序安全; 2011 CWE / SANS 25個(gè)最危險(xiǎn)的軟件錯(cuò)誤����。
** Imperva SecureSphere,F(xiàn)5 BIG-IP應(yīng)用安全管理器和Fortinet FortiWeb WAF
*** Atlassian JIRA�,GitHub和Microsoft Team Foundation Server
†視項(xiàng)目資格而定
永久或訂閱許可
Acunetix本地以1年訂購(gòu)許可證或永久許可證的形式出售����。標(biāo)準(zhǔn)版�,專(zhuān)業(yè)版和企業(yè)版都有這兩種形式。通常�����,永久許可證在多年內(nèi)更具成本效益(降低總擁有成本)�����。
在1年許可證的整個(gè)期間免費(fèi)提供支持和版本升級(jí)��,但是它僅包括在永久許可證的第一年���。為了將此期間的支持和免費(fèi)版本升級(jí)為一年或多年��,應(yīng)與永久許可證一起購(gòu)買(mǎi)維護(hù)協(xié)議�����。
標(biāo)準(zhǔn)版x2并發(fā)掃描(無(wú)限站點(diǎn)/服務(wù)器)
標(biāo)準(zhǔn)版是Acunetix的入門(mén)級(jí)演示����,可用于掃描無(wú)限數(shù)量的網(wǎng)站,限制為從同一單一固定安裝計(jì)算機(jī)同時(shí)掃描2次��。典型的標(biāo)準(zhǔn)版客戶(hù)是一個(gè)負(fù)責(zé)安全狀態(tài)和合規(guī)性的單個(gè)工作站用戶(hù)��,他希望在一些優(yōu)秀的開(kāi)發(fā)人員報(bào)告和Acunetix現(xiàn)在所知的修復(fù)提示的支持下進(jìn)行獨(dú)立的筆測(cè)試���。
從v11的推出,標(biāo)準(zhǔn)版替換和繼續(xù)從以前命名的企業(yè)產(chǎn)品��。術(shù)語(yǔ)Enterprise現(xiàn)在保留用于在規(guī)模的另一端的較大的多用戶(hù)和可選地多發(fā)動(dòng)機(jī)許可證���。 Enterprise(x2并發(fā)掃描)版v10.5或更早版本的許可證將根據(jù)有效的維護(hù)或訂閱協(xié)議自動(dòng)升級(jí)到v11中的標(biāo)準(zhǔn)版����,并且產(chǎn)品部件號(hào)保持不變���。
Pro Edition x5并發(fā)掃描
Pro Edition x5并發(fā)掃描許可證是高級(jí)用戶(hù)需要更詳細(xì)的合規(guī)報(bào)告和與軟件生產(chǎn)列車(chē)集成的理想選擇��。 Pro Edition支持從同一單個(gè)固定安裝計(jì)算機(jī)進(jìn)行5個(gè)并發(fā)掃描���。
Pro Edition客戶(hù)可以是外包或保密的安全專(zhuān)業(yè)人員,領(lǐng)導(dǎo)更高級(jí)的項(xiàng)目�����,例如在組織內(nèi)設(shè)置專(zhuān)業(yè)的應(yīng)用程序安全漏洞管理程序。該用戶(hù)將負(fù)責(zé)安全狀態(tài)和合規(guī)性����。 Pro Edition可以訪問(wèn)許多企業(yè)功能,例如:能夠?qū)Y產(chǎn)目標(biāo)進(jìn)行分組和分類(lèi)��,以獲得更好的漏洞補(bǔ)救優(yōu)先級(jí);與軟件開(kāi)發(fā)生命周期(SDLC)項(xiàng)目管理或問(wèn)題跟蹤系統(tǒng)的集成;全面的合規(guī)性報(bào)告;與頂級(jí)Web應(yīng)用程序防火墻(WAF)集成;信息趨勢(shì)圖�����,供高層管理人員使用�。
從v11的推出,Pro版本替代并繼續(xù)從以前命名的顧問(wèn)5并發(fā)掃描產(chǎn)品�����。顧問(wèn)(x5并發(fā)掃描)版v10.5或更早版本的許可證將根據(jù)有效的維護(hù)或訂閱協(xié)議自動(dòng)升級(jí)到v11中的專(zhuān)業(yè)版��,并且產(chǎn)品部件號(hào)保持不變��。
企業(yè)版x10并發(fā)掃描
企業(yè)版x10并發(fā)掃描增加了多用戶(hù)�,協(xié)作團(tuán)隊(duì)功能,還可以控制多個(gè)Acunetix掃描引擎。
由于在大量從事應(yīng)用程序開(kāi)發(fā)的組織中開(kāi)發(fā)的威脅和漏洞管理程序����,客戶(hù)可以擴(kuò)展到多個(gè)用戶(hù),包括高級(jí)管理���,治理�����,風(fēng)險(xiǎn)和合規(guī)(GRC)人員。企業(yè)版客戶(hù)擁有完全基于角色的多用戶(hù)團(tuán)隊(duì)支持���,并能夠部署由中央系統(tǒng)管理的多個(gè)掃描引擎��,而入門(mén)級(jí)企業(yè)3,5,10用戶(hù)許可證的單一固定安裝包括中央系統(tǒng)和掃描引擎安裝����。企業(yè)版可以擴(kuò)展從3到無(wú)限的用戶(hù)和最多50 Acunetix掃描引擎�����。
多個(gè)并行掃描許可證和多個(gè)并發(fā)獨(dú)立用戶(hù)安裝或額外掃描引擎
如上所述����,Acunetix可用于從同一工作站運(yùn)行多個(gè)網(wǎng)站的多個(gè)并發(fā)掃描���。 標(biāo)準(zhǔn)版可以運(yùn)行2個(gè)并行掃描,Pro Edition可以運(yùn)行多達(dá)5個(gè)并發(fā)掃描���,而軟件的企業(yè)版可以同時(shí)運(yùn)行10個(gè)掃描���,或者在中央節(jié)點(diǎn)(10個(gè)并發(fā)掃描)或多個(gè) 掃描引擎,具體取決于所選的許可選項(xiàng)�����,部署配置和架構(gòu)注意事項(xiàng)�。
產(chǎn)品交貨
Acunetix軟件產(chǎn)品以電子方式交付。 許可密鑰和下載位置在發(fā)出訂單后的一個(gè)工作日內(nèi)通過(guò)電子郵件發(fā)送給您��。
交貨
電子軟件交付���,通過(guò)許可證密鑰激活�。
