通过智能爬虫技术及多维状态匹配技术对 Web 应用安全漏洞进行检测、各种工具定制化输入输出数据(cookie及各种参数)来验证扫描结果,通过主动扫描与被动扫描相结合的方式。
主动扫描
Active scanning
主动扫描使用爬虫技术。同时会参考robots.txt及sitemap.xml等文件,能够解析Web页面上的链接,解析目标站点的完整结构,通过不断解析目标站点的链接来获取更多Web页面,并在用户界面上将以树型结构进行展示。
被动扫描
Passive scanning
拒绝服务攻击是攻击者通常利用目标服务器的网络协议漏洞或耗尽其系统、网络资源。无法响应正常用户请求,使得目标服务器业务瘫痪。近年来,避免系统瘫痪,拒绝服务攻击事件呈上升趋势,网站系统尤其要加强防范此类恶性攻击事件。WAF(Web Application Firewall)集成了具有核心知识产权的抗拒绝服务攻击功能。如SYN Flood、UDP Flood、ICMP Flood、pingofDeath、Smurf、HTTP-getFlood 等等,能够防御迄今已知的所有种类的DDoS攻击。同时还能防御未知攻击。
渗透测试
Penetration test
提供了Cookie定制工具、会话劫持工具、数据库信息猜解工具以及参数调试工具等供漏洞验证及渗透测试使用的工具集。通过这些工具将可对Web页面的访问过程进行全程监控及干预,从而确定是否存在漏洞,利用各种功能检测Web页面在不同情况下的反馈信息,以及漏洞的可利用程度(危害程度)。
系统特性
System characteristics
扫描速度极度优化,远超业界平均水平
反复提炼规则,用尽量少的规则数量去覆盖最大范围漏洞,规则的精炼能明显提高检测速度
独有的内存加速技术,可在内存较大的设备中,明显提升速度
漏洞扫描精准
坚持可验证原则,减少无意义的漏洞报告
规则提炼整理,减少漏洞的漏报,大幅 减少某些漏洞的重复报告
支持目前主流的Web相关技术
具有良好的容错性,在扫描过程中不会因为页面内容错误或网络传输不稳定而导致整个扫描任务的中断
规则库采用脚本语言进行设计,保证了开发运行的效率,提供了极强的扩展性接口
支持对扫描配置、扫描策略、任务情况的多种控制设定,能够灵活的控制最终的扫描时间、完整性及资源耗用等
提供了HTTP调试器、HTTP会话劫持工具、注入验证工具、Cookie工具及被动扫描工具,能够完整的对HTTP会话全过程进行监听及干预