加载中 ...
首页 > 软件介绍 > 安全保密 正文

UnisWebScanner网站安全扫描系统

2019-03-24 16:11:42 来源:沈阳软件公司 作者:沈阳软件开发

安全隔离

一、系统简介
  随着各种各样的Web应用(电子商务、论坛、新闻、博客等)不断进入人们的生活,越来越多的动态元素被加入到Web建设中来。表单、登录、信息发布等动态内容允许访问者获得和提交动态的内容,如果这些Web应用存在不安全的隐患,那么整个数据库甚至是Web站点系统都会面临安全风险。据统计,目前75%的网络攻击行为都是通过Web来进行的。
  对Web应用的安全性进行手工测试和审计是一项复杂且耗时的工作,不仅需要极大的耐心还需要专业的技术经验。对于一般的Web管理人员来说,基于安全的管理将占用大量工作时间。自动化的漏洞扫描工具能够大幅简化对于未知安全隐患的检测工作,有助于Web管理人员将精力转向如何处理安全风险上。
  与其他传统扫描软件不同的是,UnisWebScanner 对广泛应用的 Web2.0 技术密切关注,并内嵌自动 javascript 解析器,支持复杂的 Web 应用(如 Ajax、SOAP、JavaScript、Flash等)。适用于通过internet、intranet、extranet进行网上交易或信息发布的大、中、小企业,如金融、证券、政府、电子商务、电信运营商、基金、网游、科研院所等各类企事业单位。
   经过实践证明,UnisWebScanner网站安全扫描系统是Web安全性价比极高的产品,相比国外的Web安全扫描产品来说,检测速度快,并且具备紧密跟踪国内最新网马等信息的快速响应及更新能力;相比国内的Web安全扫描产品来说,功能多样,结果准确,效率更高,值得信赖。
二、功能特性
  UnisWebScanner网站安全扫描系统是针对Web安全性进行弱点评估的智能检测系统,是多年深入研究当前各类流行Web攻击手段(如网页挂马攻击、SQL注入漏洞、跨站脚本攻击等)的经验结晶。UnisWebScanner 通过复杂的和全面的方法检测 Web 应用安全漏洞,通过并发爬虫审计技术对您的网站进行全面的、深入的、彻底的风险评估,综合性的规则库(本地漏洞库、ActiveX库、网页木马库、网站代码审计规则库等)以及业界最为领先的智能化爬虫技术及SQL注入状态检测技术,使得相比国内外同类产品智能化程度更高,速度更快,结果更准确。
  2.1系统架构
  系统架构如下图所示:  

UnisWebScanner自动化工作方式如下:
   爬虫将参考robots.txt和sitemap.xml爬过整站链接,对网站结构进行树形展示。
  对发现的每个页面进行检查和自动化扫描。
  如果发现漏洞存在,UnisWebScanner显示相关的POST字段、HTTP响应头、影响链接及解决建议。
  扫描完毕后,可以选择对存在的漏洞进行漏洞验证。如果漏洞真正存在,可通过手工检测可获得数据库的敏感信息。
  对于每次的扫描任务,可以保存为工程,也可以打开已保存的工程继续扫描。
  报告管理器提供专业的定制化报告。
  2.2网站挂马检测
  系统通过特征匹配及沙箱验证技术对网站页面进行分析,以检测页面是否被恶意攻击者植入网马。一般的扫描系统仅能通过页面代码特征进行关键字的匹配检测,而UnisWebScanner不仅包含了基于页面特征的检测方式更集成了验证页面行为的沙箱环境,能够准确判断出“弹出式广告”、“浮动广告”等在代码特征上类似挂马的非威胁内容,并且能够模拟用户访问页面时的内存及浏览器操作,使检出率显著提升,同时大大降低误报率。
  2.3SQL注入漏洞检测及验证
  系统使用了先进的基于状态检测的SQL注入漏洞扫描技术,不同于目前国内外产品常用的基于错误的简单检测技术,加上先进的向量比较算法,使得结果更加精确。
  系统包含完整的SQL注入漏洞验证机制,采用基于状态检测的技术对数据库进行渗透,以验证漏洞可能对站点造成的风险威胁。验证系统支持任意语言编写的站点,同时支持反馈及不反馈错误信息的SQL注入漏洞验证。使得管理人员对站点的安全状况能够有真正准确的了解。
  2.4XSS跨站脚本漏洞检测
 跨站脚本漏洞的危害越来越大,攻击者通过跨站攻击可以获得管理员、高级用户的信任关系,劫持用户的cookie验证状态,甚至可能直接执行有害的攻击代码。UnisWebScanner系统用够针对各种编码方式生成的变量进行跨站脚本漏洞检测,并将HTTP头及相关信息进行记录,对进一步分析漏洞的成因及危害性提供判断资料。

“沈阳软件公司”的新闻页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权等问题,请与

我们联系删除或处理,客服QQ:55506560,稿件内容仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同

其观点或证实其内容的真实性。