Acunetix

Acunetix یک ابزار تست امنیت (تست نفوذ) برای برنامه های کاربردی تحت وب می باشد. این ابزار برنامه های وبی را از طریق بررسی آسیب پذیری های رایج ممیزی می کند. اسکن خودکار می تواند به شکل کامل یا به صورت دسته بندی شده توسط مولفه های این نرم افزار جهت نفوذ به وب سایت انجام گردد.

Service virtualization product views
 

Acunetix-tab

  1. قابلیت ها
  2. امکانات

اسکنر آسیب‌پذیری

بررسی امنیت وب با اسکنر آسیب‌پذیری Acunetix

با افزایش کاربرد محاسبات ابری و پیشرفت‌هایی در تکنولوژی مرورگر، برنامه‌های کاربردی وب مولفه‌ اصلی پردازش‌های تجاری و هدف سودآور هکرها شده‌اند. لذا سازمان‌ها لازم است امنیت برنامه های کاربردی تحت وب را در اولویت قرار دهند.

فایروال کافی نیست

فایروال‌ها، SSL و شبکه‌های مقاوم شده، برای جلوگیری از هک شدن برنامه‌های کاربردی تحت وب کافی نیستند. حملات وب برروی HTTP و HTTPS، یعنی همان پروتکل‌هایی که برای تحویل محتوا به کاربران مجاز استفاده می‌شود، صورت می‌گیرند. برنامه‌های کاربردی وب اغلب به صورت سفارشی ساخته شده و لذا نسبت به نرم‌افزارهای آماده مصرف (off-the-shelf)کمتر تست می‌شوند؛ پیامدهای یک حمله وب اغلب بدتر از حملات مبتنی بر شبکه سنتی می‌باشد.

شناسایی بیش از 3000 آسیب‌پذیری برنامه کاربردی وب.

اسکن نرم‌افزار متن باز و برنامه‌های کاربردی که به صورت سفارشی ساخته شده‌اند.

شناسایی آسیب‌پذیری‌های حیاتی با دقت بسیار بالا.

نرم افزار Acunetix

پیش‌تاز تکنولوژی در تست خودکار امنیت برنامه کاربردی وب

Acunetix یکی از پیشگامان تست خودکار امنیت برنامه کابردی وب به همراه تکنولوژی‌های نوین زیر می‌باشد:

تکنولوژی DeepScan برای پیمایش برنامه‌های کاربردی تک صفحه‌ای سمت کلاینت که دارای AJAX زیادی می‌باشند.

پیشرفته‌ترین تکنولوژی تست تزریق SQL و تست اسکریپت مستقل از سایت شامل شناسایی پیشرفته XSS مبتنی بر DOM می‌باشد.

تکنولوژی AcuSensor که تکنیک‌های اسکن جعبه سیاه را با بازخورد حسگرهای آن که درون کد منبع قرار دارند، ترکیب می‌کند.

نرم افزار Acunetix

سریع، دقیق و آسان برای استفاده

اسکنر و پیمایشگر سریع چند نخی (multi-thread) و سبک وزن که می‌تواند صدها صفحه را بدون وقفه پیمایش کند.

تشخیص عالی آسیب‌پذیری‌های Wordpress - نصب‌های وردپرس را برای بیش از 1200 آسیب‌پذیری شناخته شده در هسته، تم‌ها و پلاگین‌های ورد پرس، اسکن می‌کند.

به آسانی توسط رکوردکننده توالی کاراکترهای ورود به سیستم، مورد استفاده قرار گرفته و اسکن خودکار نواحی محافظت شده با پسوردهای پیچیده را ممکن می‌سازد.

داده‌های آسیب‌پذیری را با مدیریت آسیب‌پذیری تعبیه شده بررسی نموده و گزارش‌های فنی مختلفی تولید می‌کند.

نرم افزار Acunetix

پیمایش و تحلیل جامع

اول اسکن و سپس پیمایش. Acunetix سایت‌های HTML5 و جاوااسکریپت را تحلیل می‌کند

اگر نتوانید صفحه ای را پیمایش کنید، نمی‌توانید آن را اسکن کنید. به لطف تکنولوژی Acunetix ،DeepScan می‌تواند هر وب سایت و هر برنامه کاربردی وب، حتی برنامه‌های کاربردی تک صفحه‌ای را که با استفاده HTML5، جاوااسکریپت و RESTful API توسعه داده شده‌ است، پیمایش کند. Acunetix DeepScan، حتی پیشرفته‌ترین برنامه‌های کاربردی را با تکرار کردن فعالیت‌های کاربر و اجرای جاوااسکریپت درست مثل یک مرورگر واقعی پیمایش می‌کند.

تکنولوژی DeepScan: پیمایش و اسکن دقیق

Acunetix شامل تکنولوژی Acunetix DeepScan می‌باشد - یک مرورگر وب کاملا خودکار که می‌تواند تکنولوژی‌های پیچیده وب را شناسایی نموده و به طور یکپارچه با آ‌ن‌ها تعامل داشته باشد.

پیمایش و اسکن وب سایت‌های HTML5 و اجرای جاوااسکریپت همانند یک مرورگر واقعی.

تعامل با عملیات JSON ،XML ،SOAP/WCF ،SOAP/WCF ،SOAP/WSDL ،AJAX ،(GWT) Google Web Toolkit و CRUD.

تحلیل برنامه‌های کاربردی وب که بر اساس چارچوب‌های Ruby on Rails و جاوا شامل Spring ،JSF و Strust توسعه داده شده‌اند.

نرم افزار Acunetix

تست برنامه کاربردی وبی که فاقد زحمت اعتبارسنجی می‌باشد

Acunetix می‌تواند به طور خودکار نواحی اعتبارسنجی را با رکورد کردن توالی کاراکترهای ورود به سیستم با استفاده از (Login Sequence Recorder (LSR تست کند. LSR، رکورد مجموعه‌ای از فعالیت‌ها و/یا محدودیت‌هایی را که اسکنر می‌تواند برای اعتبارسنجی یک صفحه بازیابی کند، سریع و ساده می‌سازد. Acunetix LSR از تعداد زیادی از مکانیزم‌های اعتبارسنجی همچون موارد زیر پشتیبانی می‌کند:

شِماهای اعتبارسنجی چند مرحله‌ای/سفارشی

اعتبارسنجی ورود به سیستم منفرد (Single Sign On)

اعتبارسنجی CAPTCHA ها و چند عاملی (Multi Factor)

نرم افزار Acunetix

شناسایی URL مخرب

Acunetix شامل یک سرویس شناسایی URL مخرب می‌باشد که URL مخرب سایت‌های خارجی که مورد حملات فیشینگ قرار می‌گیرند را شناسایی می‌کند.

شناسایی URL های مخرب با اسکن وب سایت یا برنامه کاربردی وب.

شناسایی URL هایی که مورد حمله فیشینگ قرار گرفته‌اند.

بررسی عدم وجود URL ها در پایگاه‌داده‌های Google and Yandex Safe Browsing.

نرم افزار Acunetix

بالاترین نرخ شناسایی

بالاترین نرخ شناسایی SQL Injection و XSS

شناسایی جامع و دقیق آسیب‌پذیری، توانایی تشخیص هر چیزی - از بدیهی‌ترین آسیب‌پذیری گرفته تا مبهم‌ترین آسیب‌پذیری - می‌باشد. Acunetix پیش‌تاز صنعت در شناسایی بیشترین انواع آسیب‌پذیری های SQL Injection و XSS شامل Out-of-band SQL Injection و XSS مبتنی بر DOM و همچنین 3000 آسیب‌پذیری دیگر وب می‌باشد.

تست آسیب‌پذیری SQL Injection و XSS

Acunetix هزاران آسیب‌پذیری برنامه کاربردی وب شامل SQL Injection و XSS را به دقت تست می‌کند. هنگامی که بحث آزمون امنیت برنامه کاربردی پویا مطرح می شود، هرچند تعداد تست‌هایی که یک اسکنر می‌تواند اجرا کند مهم است، اما در وحله بعدی چگونگی پیمایش و اسکن خوب یک برنامه کاربردی نیز مهم می‌باشد. تکنولوژی Acunetix DeepScan:

برنامه‌های کاربردی وب مبتنی بر HTML5 را پیمایش و اسکن نموده و جاوااسکریپت را همانند یک مرورگر واقعی اجرا می‌کند.

دارای بالاترین نرخ شناسایی آسیب‌پذیری‌های خطرناک می‌باشد.

به طور قابل اعتمادی، اسکریپت پیشرفته مستقل از سایت و مبتنی بر DOM را شناسایی می‌کند.

نرم افزار Acunetix

تست پیشرفته و خودکار آسیب‌پذیری XSS مبتنی بر DOM

هنگامی که اسکریپت‌های سمت کلاینت برنامه کاربردی وب، داده‌های فراهم شده توسط کاربر را در DOM می‌نویسد، XSS مبتنی بر DOM امکان‌پذیر می‌گردد. سپس داده‌ها توسط برنامه کاربردی وب از DOM خوانده شده و به مرورگر منتقل می‌شوند. اگر داده‌ها به درستی مدیریت نشوند، یک مهاجم می‌تواند یک Payload تزریق کند، که به عنوان بخشی از DOM ذخیره شده و هنگامی که داده‌های برگشتی از DOM خوانده می‌شوند، اجرا می‌شود. شناسایی این نوع پیشرفته از XSS بسیار دشوار است.

Acunetix طیف گسترده‌ای از آسیب‌پذیری‌های پیشرفته XSS مبتنی بر DOM را اسکن می‌کند.

منبع و مقصد ارزیابی XSS مبتنی بر DOM را گزارش می‌کند.

ردیابی پشته‌ای (stack trace) از Payload تزریق‌شده در XSS مبتنی بر DOM را فراهم می‌کند.

نرم افزار Acunetix

شناسایی SSRF ،XXE ،Blind XSS و Email Header Injection

روش‌های سنتی شناسایی آسیب‌پذیری‌ها، مدت کوتاهی پس از تلاش برای شناسایی آسیب‌پذیری‌های out-of-band؛ یعنی شناسایی آسیب‌پذیری‌هایی که در طی تست به اسکنر پاسخ نمی‌دهند، شکست می‌خورند. شناسایی آسیب‌پذیری‌های out-of-band نیازمند یک سرویس واسط مانند Acunetix Acumonitor می‌باشد که موارد زیر را بررسی می‌کند:

(Blind XSS and XML External Entity Injection (XXE.

حملات (Server Side Request Forgery (SSRF و Host Header

Email Header Injection و مسدود شدن رمز عبور

نرم افزار Acunetix

بررسی آسیب پذیری های متداول همچون SQL Injection ، XSS Injection و Command Injection

دارای اسکنر کاملا خودکار برای تست وب سایت های Ajax و برنامه های کابردی Web2

پشتیبانی از برنامه های کاربردی حاوی CAPTCHA، SSO و مکانیزم احراز اصالت مدرن

دارای ابزارهای تست نفوذ همچون Interception Proxy، HTTP Editor و HTTP Fuzzer

توانایی اسکن همزمان با سرعت بالا

دارای محیط کاربر پسند

ارائه گزارش های جامع از نتایج تست امنیت و تهدیدات شناسایی شده

دارای crawler هوشمند جهت تشخیص نوع وب سرور، زبان برنامه نویسی و ترسیم ساختار درختی وب سایت

قابلیت اسکن پورت و چک نمودن سرویس های شبکه

پشتیبانی از استانداردها و منابع معتبری همچون ISO، OWASP، PCI، NIST، HIPPA، Sarbanes-Oxley، DISA-STIG و CWE/SANS

قابلیت اسکن سایت هایی با محتوای Flash , SOAP و AJAX

دارای مولفه AcuSensor برای تحلیل امنیتی در سطح سورس کد برای برنامه های کاربردی تحت PHP و Net.