您的網(wǎng)絡(luò)應(yīng)用安全嗎�����? 哲想君相信����,很多人被問及以上問題時(shí)會不屑一顧,他們肯定會說:我的網(wǎng)絡(luò)應(yīng)用有防火墻��,還有入侵檢測系統(tǒng)����,當(dāng)然...
您的網(wǎng)絡(luò)應(yīng)用安全嗎����?
哲想君相信���,很多人被問及以上問題時(shí)會不屑一顧�,他們肯定會說:“我的網(wǎng)絡(luò)應(yīng)用有防火墻��,還有入侵檢測系統(tǒng)�,當(dāng)然很安全!”但是您了解以下信息嗎�����?
1.黑客們主要關(guān)注的網(wǎng)站應(yīng)用:購物車和登入界面
2.網(wǎng)站應(yīng)用通常是個(gè)性定制�,因此受過的測試較少
3.防火墻/網(wǎng)絡(luò)級別的防衛(wèi)基本沒有太大的保護(hù)作用
看到這里,您還會理直氣壯地說自己的網(wǎng)絡(luò)應(yīng)用很安全嗎��?
好�,如果您還“嘴硬”的話��,再看看下面的新聞:
1.2011年4月17日�����,BarracudaNetworks在安裝了網(wǎng)絡(luò)應(yīng)用防火墻的情況下遭受SQL注入攻擊
2.2011年3月27日,MySQL.com遭受SQL注入攻擊
3.2010年7月4日���,YouTube因跨站腳本(XSS)漏洞被黑
4.2010年2月6日���,卡巴斯基遭到SQL注入攻擊
怎么樣,是不是有點(diǎn)怕怕的�?
那問題來了:既然網(wǎng)絡(luò)應(yīng)用存在諸多安全隱患,選擇什么樣的漏洞掃描工具呢�?
網(wǎng)絡(luò)安全專家告訴您:當(dāng)然是Acunetix漏洞掃描軟件!因?yàn)樗哂校?/strong>
1�����、行業(yè)領(lǐng)先的爬行器
檢測自定義404
能夠跳過登入部分在記錄器上進(jìn)行登入
能處理驗(yàn)證碼格式
支持單點(diǎn)登入以及安全令牌機(jī)制
了解頁面范圍��,根據(jù)不同情況采取不同措施
2���、Acunetix的AcuSensor技術(shù)
將黑盒子掃描和源代碼分析相結(jié)合
分析已執(zhí)行的代碼
檢測更多漏洞
誤報(bào)更少�,節(jié)省安全人員和開發(fā)者的時(shí)間:包括核實(shí)漏洞的先進(jìn)技術(shù)���;分析反饋和微調(diào)攻擊�����;在運(yùn)行中分析軟件的行為
在網(wǎng)絡(luò)服務(wù)器中發(fā)現(xiàn)配置問題或運(yùn)行環(huán)境
3�、先進(jìn)的SQL注入攻擊
一流的SQL注入攻擊檢測
網(wǎng)絡(luò)安全專家一致認(rèn)為:與其它漏洞掃描軟件相比,Acunetix能發(fā)現(xiàn)更多的SQL注入攻擊漏洞
可進(jìn)行SQL盲注檢測
AcuSensor技術(shù)可核查所有SQL報(bào)表���,包括SQL嵌入
報(bào)告SQL注入攻擊��,POST變量和堆疊蹤跡的SQL查詢漏洞
指示密碼漏洞的位置所在
4����、高端的跨站腳本
發(fā)現(xiàn)更多的跨站腳本漏洞(XSS)
分析字符是否被編碼或過濾
采用基于應(yīng)用反饋分析結(jié)果
使用基于黑客方法的啟發(fā)式方法
不像其它掃描器發(fā)送請求然后置之不理
5�����、方便用戶的使用界面:所有工具都融合在一個(gè)簡潔直觀的圖形用戶界面內(nèi)
6��、配置簡單�,調(diào)試容易
自定義404檢測
使用自定義檢測技術(shù)(PHP,ASP等)
單擊已認(rèn)證區(qū)域的配置組態(tài)
手動(dòng)掃描網(wǎng)頁提交到掃描儀進(jìn)行分析
7、先進(jìn)的滲透測試工具
HTTP編輯器
HTTP網(wǎng)絡(luò)嗅探器
HTTP偵察器
身份驗(yàn)證測試器
8���、提供具體的漏洞修復(fù)建議
詳細(xì)說明
文章鏈接
