WEB开发网
开发学院网络安全安全技术 实现SQL注入扫描 WebPecker扫描器简单介绍 阅读

实现SQL注入扫描 WebPecker扫描器简单介绍

 2009-03-26 13:57:41 来源:WEB开发网   
核心提示:越来越多的企业、组织通过Web开展业务,Gartner研究报告称75%的攻击都是通过Web来进行的,实现SQL注入扫描 WebPecker扫描器简单介绍,SQL注入问题存在已经很久了,主要的原因是Web应用程序对用户输入检查不严格、数据库链接权限控制不严格、数据库操作行为控制不严格,多角色报告,适用于管理层、技术人员,

越来越多的企业、组织通过Web开展业务。Gartner研究报告称75%的攻击都是通过Web来进行的。

SQL注入问题存在已经很久了,主要的原因是Web应用程序对用户输入检查不严格、数据库链接权限控制不严格、数据库操作行为控制不严格。正因为是历史问题,加上代码越来越繁杂,修修补补的牵扯太多,所以很多用户都存在侥幸心理,觉得自己不会那么不幸运吧。

去年的大规模群注攻击非常震撼,攻击者使用的暴力方式让人们对SQL注入攻击有了全新的认识,很多人一定还记得自己恢复数据库时的情景。这一次,专业做安全业务的大厂商也没躲过这一劫。

MS09-002 漏洞利用 IE 对释放的对象重利用的异常,经过精心编写 shellcode 进行利用,可在客户端远程执行代码。攻击代码已经被公布,利用此漏洞的挂马正在进行。

WebPecker不同于其他的 Web 扫描器,它将 SQL 注入扫描、XSS 扫描、网马扫描、敏感信息扫描高度综合,通过威胁感知,根据不同网站的特点,灵活调整和选择扫描方案,让您发现真正的安全隐患。系统通过复杂的和全面的方法检测 Web 应用安全漏洞,通过并发爬虫审计技术、智能引擎提高准确度。方便的向导功能使得 WebPecker更容易配置和使用。

与其他传统扫描软件不同的是,WebPecker 对新兴的 Web2.0 应用和技术密切关注,内嵌自动javascript 解析器,支持复杂的 Web 应用(如 Ajax、SOAP、JavaScript、Flash等)。适用于通过internet、intranet、extranet进行网上交易或信息发布的大、中、小企业,如金融、证券、政府、电子商务、电信运营商、基金、网游、科研院所等各类企事业单位。

系统主要特性:

广度优先爬虫与网站目录还原技术,根据 Web 服务器和应用程序脚本语言类型自动做出调整。

多线程并发扫描,与审计同时进行,节省时间。

输入 URL 即可快速扫描,容易上手

扫描过程中自动量身定制 profile,结果更准确。

精选多种扫描策略。

状态检测技术,全面检测注入点,不会漏报。

支持主流数据库的漏洞验证技术。

支持 SSL 协议及使用证书的应用系统,如网银。

网页木马全面检测与定位。

多种方法检测网站是否存在敏感信息。

手工测试台,包含多个渗透测试工具。

灵活自定义选项,适用于高级用户。

多权限分级管理。

多角色报告,适用于管理层、技术人员。

合规报告、自定义报告、扫描结果趋势分析。

WebPecker 检测策略包括:

1)SQL 注入

2)Blind SQL 注入

3)XSS

4)CSRF

5)远程文件包含(RFI)注入

6)服务器端包含(SSI)注入

7)本地文件包含(LFI)

8)OS 命令注入

9)不充分的认证

10)不充分的 session 过期

11)SSL协议

12)服务器错误配置

13)目录索引与枚举

14)URL 重定向攻击

15)Cookie 安全性

16)目录遍历

17)Ajax 审计

18)敏感文件枚举

19)敏感信息泄漏

20)网页木马

Tags:实现 SQL 注入

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接