【51CTO.com 综合报道】越来越多的企业、组织通过Web开展业务。Gartner研究报告称75%的攻击都是通过Web来进行的。
SQL注入问题存在已经很久了,主要的原因是Web应用程序对用户输入检查不严格、数据库链接权限控制不严格、数据库操作行为控制不严格。正因为是历史问题,加上代码越来越繁杂,修修补补的牵扯太多,所以很多用户都存在侥幸心理,觉得自己不会那么不幸运吧。
去年的大规模群注攻击非常震撼,攻击者使用的暴力方式让人们对SQL注入攻击有了全新的认识,很多人一定还记得自己恢复数据库时的情景。这一次,专业做安全业务的大厂商也没躲过这一劫。
MS09-002 漏洞利用 IE 对释放的对象重利用的异常,经过精心编写 shellcode 进行利用,可在客户端远程执行代码。攻击代码已经被公布,利用此漏洞的挂马正在进行。
WebPecker不同于其他的 Web 扫描器,它将 SQL 注入扫描、XSS 扫描、网马扫描、敏感信息扫描高度综合,通过威胁感知,根据不同网站的特点,灵活调整和选择扫描方案,让您发现真正的安全隐患。系统通过复杂的和全面的方法检测 Web 应用安全漏洞,通过并发爬虫审计技术、智能引擎提高准确度。方便的向导功能使得 WebPecker更容易配置和使用。
与其他传统扫描软件不同的是,WebPecker 对新兴的 Web2.0 应用和技术密切关注,内嵌自动javascript 解析器,支持复杂的 Web 应用(如 Ajax、SOAP、JavaScript、Flash等)。适用于通过internet、intranet、extranet进行网上交易或信息发布的大、中、小企业,如金融、证券、政府、电子商务、电信运营商、基金、网游、科研院所等各类企事业单位。
系统主要特性:
广度优先爬虫与网站目录还原技术,根据 Web 服务器和应用程序脚本语言类型自动做出调整。
多线程并发扫描,与审计同时进行,节省时间。
输入 URL 即可快速扫描,容易上手
扫描过程中自动量身定制 profile,结果更准确。
精选多种扫描策略。
状态检测技术,全面检测注入点,不会漏报。
支持主流数据库的漏洞验证技术。
支持 SSL 协议及使用证书的应用系统,如网银。
网页木马全面检测与定位。
多种方法检测网站是否存在敏感信息。
手工测试台,包含多个渗透测试工具。
灵活自定义选项,适用于高级用户。
多权限分级管理。
多角色报告,适用于管理层、技术人员。
合规报告、自定义报告、扫描结果趋势分析。
WebPecker 检测策略包括:
1)SQL 注入
2)Blind SQL 注入
3)XSS
4)CSRF
5)远程文件包含(RFI)注入
6)服务器端包含(SSI)注入
7)本地文件包含(LFI)
8)OS 命令注入
9)不充分的认证
10)不充分的 session 过期
11)SSL协议
12)服务器错误配置
13)目录索引与枚举
14)URL 重定向攻击
15)Cookie 安全性
16)目录遍历
17)Ajax 审计
18)敏感文件枚举
19)敏感信息泄漏
20)网页木马
