应用程序测试工具库的必备工具丨上海道宁与Acunetix为您的Web应用程序安全保驾护航

 

Acunetix是

应用程序测试工具库的必备工具

通过自动化扫描网站

抓取应用程序的每个角落

快速检测并修复漏洞

确保您的Web应用程序的安全性

Web应用程序安全涉及

互联网行业的方方面面

Acunetix通过集成到

他们每天使用的工具中

让开发人员更容易

发现、修复和预防漏洞

开发商介绍

Acunetix于2005年开创，是在从静态网页向真正的Web应用程序过渡的初期创建的。从一开始，Acunetix就通过不断创新引领市场，旨在让中小型企业更轻松地跟踪安全问题并迅速采取行动解决这些问题。

Acunetix是一种应用程序安全测试工具，旨在帮助世界各地的中小型组织控制其网络安全。

Acunetix通过快速扫描、综合结果和智能自动化，授权安全团队降低所有类型Web应用程序的风险。

一、自动化应用程序安全

发现与抓取

轻松到达每个Web应用程序的每个角落

01、发现需要扫描的一切

Acunetix会自动创建一个包含您所有网站、应用程序和API的列表，并使其保持最新。

这意味着您不会留下任何未扫描且容易受到攻击的潜在入口点。

02、抓取应用程序的每个角落

在大多数漏洞扫描器无法到达的地方轻松扫描。

• 扫描SPA、脚本密集型站点以及使用HTML5和JavaScript构建的应用程序

• 录制宏以在受密码保护和难以到达的区域自动扫描

• 扫描其他扫描仪看不到的未链接文件

二、检测漏洞

快速找到让您面临风险的安全漏洞

您没有时间掌握世界上最新的漏洞。使用Acunetix，您不必这样做。

检测7,000多个漏洞，包括零日漏洞。

• 使用世界上最准确的漏洞扫描程序查找您的安全漏洞

• 运行快速扫描，在发现漏洞时立即发现漏洞

• 同时扫描多个环境

• 通过混合DAST + IAST扫描获得更完整的覆盖

三、修复漏洞

01、快速修复漏洞

误报会浪费您的时间。与您的开发人员无休止的来回交流也是如此。

通过自动化手动任务和减少猜测，使用Acunetix节省时间。

• 通过漏洞利用证据消除浪费时间的误报

• 查明需要修复的确切代码行

• 使开发人员能够自行解决安全问题

四、使安全融于发展

01、使开发人员更容易采取安全措施

Web应用程序安全不应该只是您的责任。它应该是每个人的。

通过集成到他们每天使用的工具中，让开发人员更容易发现、修复和预防漏洞。

• 一键发送工单给开发者

• 帮助开发人员编写更安全的代码以防止漏洞

• 连接到您的CI/CD、问题跟踪器、WAF和其他工具

五、持续安全

01、无论何时都保持安全

攻击随时可能发生。但这并不意味着你必须生活在担忧中。

自动执行定期扫描 - 因此您可以确信您会快速发现新漏洞。

• 安排持续的漏洞扫描

• 通过趋势图了解您的应用程序安全性如何随着时间的推移而提高

• 在使用 WAF 虚拟补丁修复漏洞的同时保持安全

AcuSensor技术

使用AcuSensor的交互式应用程序安全测试 (IAST)

AcuSensor技术是Acunetix的附加组件。当您安装和使用 AcuSensor 时，Acunetix成为IAST解决方案（灰盒扫描器），而不仅仅是DAST扫描器（黑盒扫描器）。AcuSensor适用于以 Node.js、PHP、Java（包括Spring框架）和ASP.NET编写的应用程序。

一、AcuSensor有什么好处？

当您使用AcuSensor时，Acunetix会在Acunetix扫描Web应用程序时从服务器后端获取附加信息。此附加信息引入了许多改进。

1、易于修复

AcuSensor连接到代码解释器或编译器（取决于语言），它可以识别源代码的确切行（对于PHP）或指向堆栈跟踪中的位置（对于Java和ASP.NET）。有了这些信息，您的开发人员可以更快地修复漏洞。

2、更高的精度

AcuSensor可以100%可靠地检测以下漏洞类型：SQL注入、 代码注入、CRLF注入、 目录遍历、任意文件创建/删除、 电子邮件标头注入、 文件上传、 文件包含、文件篡改、PHP代码注入、和PHP SuperGlobals覆盖。

3、全覆盖

AcuSensor提供Web应用程序的完整目录列表，确保扫描整个Web应用程序，包括任何隐藏的、未链接的位置。此外，AcuSensor可以发现隐藏的GET和POST输入，即使这些输入并未在Web应用程序中使用。

二、AcuSensor如何工作

Acunetix扫描器通过发送有效负载和分析响应来工作。当Web服务器接收到有效负载时，它会执行后端代码。如果安装了AcuSensor，它会分析执行的后端代码并向扫描仪提供附加信息。

• 您必须在服务器上安装所选语言的AcuSensor。AcuSensor可用于Linux/UNIX和Windows服务器。

• AcuSensor直接与PHP解释器以及Java和ASP.NET字节码编译器一起工作。

• 您根本不需要修改源代码即可使用AcuSensor。与需要您在代码中编译传感器的IAST产品相比，这是一个主要优势，通常需要您更改构建过程或将软件依赖项添加到项目中。

三、何时使用IAST？

AcuSensor在特定环境中效果更佳，不推荐用于其他一些环境。要充分利用AcuSensor，请在正确的环境中使用它。

您应该在登台服务器上安装AcuSensor。这是执行IAST分析的位置。

• 您可以在虚拟机上安装AcuSensor，以作为CI/CD管道的一部分执行IAST分析。在这种情况下，需要将AcuSensor安装作为CI/CD管道的一部分。

• 我们不建议在生产服务器上安装AcuSensor。活动的 AcuSensor会消耗一些资源，因此您的生产 Web 应用程序可能会运行得更慢。

• AcuSensor目前可用于Node.js、PHP、ASP.NET和Java。如果您希望我们为您的技术创建AcuSensor，请告诉我们。

AcuMonitor服务

AcuMonitor 是 Acunetix 提供的一项服务，它允许扫描程序检测带外漏洞。此服务由带外检查自动使用，无需安装或配置，只需简单注册本地版本即可。

一、AcuMonitor有什么好处？

AcuMonitor增加了Acunetix扫描程序可以检测到的漏洞范围。如果没有AcuMonitor，就无法进行带外检测。此外，使用AcuMonitor检测到的漏洞绝不是误报。以下是Acunetix使用AcuMonitor检测到的一些漏洞：

1、盲目的服务器端XML/SOAP注入

2、盲XSS（延迟XSS）

3、主机头攻击

4、带外远程代码执行 (OOB RCE)

5、带外SQL注入 (OOB SQLi)

6、电子邮件标头注入

7、服务器端请求伪造 (SSRF)

8、XML外部实体注入 (XXE)

二、AcuMonitor如何工作？

在Acunetix扫描期间，您的Acunetix扫描器会将有效负载发送到测试的应用程序。以下是这些有效负载如何与AcuMonitor一起使用：

1、AcuMonitor是一项可公开访问的服务。它等待两种类型的连接：处理Acunetix漏洞有效负载后来自Web应用程序的连接和来自Acunetix扫描程序（在线或本地）的连接。

2、当Aunetix对带外漏洞执行测试时，有效负载旨在向AcuMonitor服务发送特定请求。在带外漏洞的情况下，这可以立即发生，也可以延迟发生，并且可以从应用程序的不同位置或完全不同的Web应用程序发生。

3、您的Acunetix扫描程序会定期轮询AcuMonitor以检查有效负载是否已到达服务。如果有，它会从AcuMonitor接收详细信息，从而100%确定地确认带外漏洞。

三、AcuMonitor安全吗？

AcuMonitor在数据传输和数据存储方面绝对安全。

1、AcuMonitor有效负载尽可能使用TLS。这可确保对 AcuMonitor的连接进行加密。

2、AcuMonitor没有接收或存储足够的信息来识别漏洞的来源。扫描仪不会向AcuMonitor发送有关原始请求的任何信息。为了区分测试，AcuMonitor使用您在注册期间获得的AcuMonitor ID和Acunetix生成的随机标识符。

3、向AcuMonitor发出的请求会存储一段有限的时间（至多 7 天），然后安全删除。