首页 > 产品系列 > SPOS-App 安全应用 > Web应用漏洞扫描云平台

Web应用漏洞扫描云平台

blob.png

产品简介

云扫描者Web应用安全漏洞扫描系统(简称云扫描者WVS”)是安博通攻防实验室大禹LAB的研发成果,专门针对Web应用程序自身安全而开发的专业级的漏洞检测系统。在吸取国外领先的安全检测技术和经验基础上,针对Web应用程序漏洞扫描关键技术和技术难点,进行了深入的分析和研究,并取得了一系列突破性成果。在支持的漏洞种类、爬虫的爬行能力、登录表单的自动识别能力、漏报率和误报率等各项关键指标等方面,云扫描者WVS”与业界同类产品相比,在国内甚至国际上都具有绝对的竞争优势。

“云扫描者WVS”能够广泛应用于各种类型的基于浏览器的Web应用系统,如各类网站、论坛、电子邮件、电子政务、在线交易平台、网上银行等等。不仅适用于这些系统的运营企业,而且适用于这些系统的开发企业和验收方。


核心技术


创新的爬虫技术

自主研发的基于最新浏览器引擎技术的爬虫,全面超越现有此类工具爬虫的爬行能力,这是确保低漏报率的根本保障。


跨站脚本检测率业界最高

针对OWASP排名第二的XSS漏洞的精确检测算法,不仅支持常规的XSS漏洞检测,同时对存储型XSSDOM XSS提供强大的支持,并且误报率为零,全面超越现有此类工具针对XSS漏洞的检测能力。


Linux适用性

基于Linux平台的系统,不受Windows版权和性能限制,性能上具有Linux平台先天优势。


强大的云部署能力

在产品架构设计之初, 云扫描者WVS”即考虑了对云计算的支持,不仅具有强大的云部署能力,而且提供了非常方便的接口,并具有强扩展性。


产品功能

  • 全面支持OWASP TOP10, 而且具有极低的误报率和漏报率

  • 按照WASC标准分类,支持的Web应用漏洞种类最全面、划分粒度最细

  • 基于最新浏览器引擎技术的爬虫,能够对各种动态内容进行处理,提供最全面、最强大的解析能力

  • 针对每一个检出的漏洞,通过扫描快照向用户提供漏洞证据

  • 针对每一个检出的漏洞,提供漏洞验证接口,方便用户对漏洞进行验证

  • 扫描日志,方便用户查看扫描认证结果和扫描进度

  • 认证结果快照,用户可根据快照内容,了解认证的真实结果

  • 对扫描到的所有页面,支持生成站点目录树;

  • 支持认证扫描,并支持多种认证方式;

  • 针对基于会话Session的认证扫描,提供自动捕获会话Session功能

  • 支持HTTP和HTTPS扫描;

  • 支持代理扫描;

  • 支持单用户并发扫描、多用户并发扫描;

  • 针对单个扫描任务,支持多线程扫描;

  • 提供扫描配置模版管理功能,方便用户批量进行扫描配置;

  • 支持扫描路径设置,避免扫描不必要或危险的内容;

  • 支持扫描黑名单设置,避免扫描不必要或危险的内容;

  • 提供了一系列扫描加速选项,供专业安全从业人员使用,用户可以根据实际情况在扫描时间和扫描精度上的作出选择

  • 扫描配置提供了头注入选项,以满足特殊站点的安全需求;

  • 扫描摘要,方便用户对扫描基本情况、漏洞情况和漏洞分布情况有一个整体了解;

  • 提供pdf格式的报告,供用户下载

典型应用场景

“云扫描者WVS”部署灵活简单,只需要对目标站点“网络可达”即可进行Web应用程序漏洞扫描分析。但是,由于扫描时间受到网络访问速度的影响,建议将“云扫描者WVS”部署到被评估Web服务器所在网络内部,以便能够获得最佳的扫描性能,而扫描操作人员只需要能通过浏览器远程访问到“云扫描者WVS”即可。

blob.png