UnisWebScanner网站安全扫描系统

　　2.5其他风险漏洞检测
　　目前很多的网站基于内容管理系统(CMS)构建，但是攻击者往往通过寻找管理入口的方式来获得对后台的控制。管理入口检查功能用来检查网站管理入口设置是否安全，是否容易遭受攻击。
　　 系统支持SSL协议站点页面及使用证书的应用系统，如网上银行等。
　　系统支持扫描密码自动完成漏洞，即能够对非用户输入正确用户相关信息时产生的绕过认证机制获得访问权限app开发

的漏洞检测。
　　系统支持对站点敏感信息泄漏的检测，能够检查站点的错误提示页等是否将服务器及相关系统敏感信息泄漏。防止恶意攻击者利用相关信息对站点实施进一步攻击。
三、技术特性
　　3.1先进的网页抓取爬虫技术
　　UnisWebScanner系统的网页抓取模块采用先进的广度优先爬虫技术以及网站目录还原技术。广度优先的爬虫技术的不会产生爬虫陷入的问题，网站目录还原技术则去除了无关结果，提高抓取效率。同时，系统可针对同类型网页的策略进行设置，大大降低重复扫描工作。
　　3.2基于状态的SQL注入漏洞检测技术
 　　不同于传统的针对错误反馈判断是否存在注入漏洞的方式，系统采用自主创新的状态检测机制。所谓状态检测，即针对某一链接输入不同的参数，通过对网站反馈的结果使用向量比较算法进行比对判断，从而确定该链接是否为注入点，此方法不依赖于特定的数据库类型、设置以及CGI语言的种类，对于注入点检测全面，避免了注入漏洞的漏报现象。
　　3.3沙箱与特征库相结合的挂马检测
　　系统集成了沙箱验证环境，即能够模拟真实的用户访问及网页运行环境，通过对网页在该环境中的运行状态来检测其行为，从而发现可疑的恶意代码，检测站点页面是否存在挂马现象。
　　3.4多种检测向量
　　系统集成了大量的站点安全测试用例，支持对多种向量进行检测，包含：SQL 注入、Blind SQL 注入、XSS、CSRF、远程文件包含(RFI)注入、服务器端包含(SSI)注入、本地文件包含(LFI)、OS 命令注入、不充分的认证、不充分的 session 过期、SSL 协议安全性、服务器错误配置、目录索引与枚举、目录遍历、URL 重定向攻击、Cookie 安全性、Ajax 审计、敏感文件枚举、敏感信息泄漏、网页挂马等。

 2/2   首页 上一页 1 2