|
|
| Web应用漏洞扫描工具 Secuguard WSE |
随着因特网的日益普及和网络的扩张,黑客事故也随之增加。作为管理员必须周期性扫描系统漏洞并采取相应的措施,以便防御各种外部入侵。但这需要系统管理员对于安全的专业知识和新型黑客技术的长时间研究和努力。
|
| Secuguard WSE( Web Application Security Explorer )可以对网络环境中暴露的多种蠕虫、DOS、黑客攻击、web设置漏洞进行诊断并提供相应的解决方法、以此预防黑客攻击和计算机犯罪。 |
|
 WSE的主要功能 |
| 主要功能 |
|
功能简要说明 |
|
| 服务网浏览 |
|
- Web服务器的IP,主机名的自动识别
- Web服务器的操作系统及服务器应用的自动识别 |
|
| 页面分析 |
|
- 掌握扫描对象的web结构及URL自动收集功能
- 从JavaScript, AJAX, Flash中提取URL
- 基于用户的URL过滤功能
- 环境设置(Proxy 与否, URI 扫描深度, URI计数限制等)
- 树状结构显示的URL收集器(URL信息, HTML头信息, URL浏览器) |
|
| 执行扫描 |
|
- 多重扫描:对扫描对象同时扫描的方式
- 扫描历史记录:提供用户的扫描历史记录
- 漏洞查看器:提供树状结构的信息,以便管理员掌握扫描对象的漏洞结构
- 基于多线程的快速而强大的同步多重安全漏洞的扫描
- 在一个控制台画面中对多个web服务器的漏洞同时进行扫描
- 同时扫描可以缩短扫描时间
- 可布置多重控制台
- 各个服务器管理员的扫描权限分离功能
- 通过一个Agent扫描多个web服务器的漏洞
- 提供针对组、全部、各个操作系统的扫描功能
- 针对发现的安全漏洞提供危险级别、内容、影响及弥补措施等内容 |
|
| 扫描项目 |
|
- Cross Site Scripting, SQL Injection, CRLF Injection, Code Execution, Directory Traversal, File Inclusion, Input Validation, Authentication 等
- JavaScript, AJAX, Flash File 分析等
- 输入登录信息(账号及密码)
- 提取web页或附件中包含的信用卡信息、身份证号、电子邮件地址
- 检测是否包含特定用于(性、谩骂、诽谤、暴力等) |
|
| 扫描策略 |
|
支持韩国国家情报院TOP 8, OWASP 10, SANS TOP 20, WASC TOP 24漏洞 |
|
| 模拟攻击工具 |
|
- HTTP 登录Brute Force 工具
- HTTP 编码 / 解码工具
- HTTP接入测试工具
- HTTP Fuzzer 之外的多种工具 |
|
| 预约设置 |
|
在指定事件执行扫描并把扫描结果通过电子邮件通报 |
|
| 报表 |
|
- 漏洞列表报表,危险级别漏洞分布报表等多种报表
- 通过Crystal Report提供多种图表和表格形式的报表
- 提供DOC, RTF, PDF, XLS, XML等多种文件转换形式
|
|
| 更新 |
|
- 接入更新服务器对新增漏洞扫描模块进行升级
- 在用于指定的时间自动更新扫描模块
- 针对不能接入更新服务器的用户提供离线更新功能
- 在封闭的网络中通过搭建更新服务器提供在线更新
|
|
|
|
|
 |
|
|
|
