实现SQL注入扫描 WebPecker扫描器简单介绍

核心提示：越来越多的企业、组织通过Web开展业务，Gartner研究报告称75%的攻击都是通过Web来进行的，实现SQL注入扫描 WebPecker扫描器简单介绍，SQL注入问题存在已经很久了，主要的原因是Web应用程序对用户输入检查不严格、数据库链接权限控制不严格、数据库操作行为控制不严格，多角色报告，适用于管理层、技术人员，

越来越多的企业、组织通过Web开展业务。Gartner研究报告称75%的攻击都是通过Web来进行的。

SQL注入问题存在已经很久了，主要的原因是Web应用程序对用户输入检查不严格、数据库链接权限控制不严格、数据库操作行为控制不严格。正因为是历史问题，加上代码越来越繁杂，修修补补的牵扯太多，所以很多用户都存在侥幸心理，觉得自己不会那么不幸运吧。

去年的大规模群注攻击非常震撼，攻击者使用的暴力方式让人们对SQL注入攻击有了全新的认识，很多人一定还记得自己恢复数据库时的情景。这一次，专业做安全业务的大厂商也没躲过这一劫。

MS09-002 漏洞利用 IE 对释放的对象重利用的异常，经过精心编写 shellcode 进行利用，可在客户端远程执行代码。攻击代码已经被公布，利用此漏洞的挂马正在进行。

WebPecker不同于其他的 Web 扫描器，它将 SQL 注入扫描、XSS 扫描、网马扫描、敏感信息扫描高度综合，通过威胁感知，根据不同网站的特点，灵活调整和选择扫描方案，让您发现真正的安全隐患。系统通过复杂的和全面的方法检测 Web 应用安全漏洞，通过并发爬虫审计技术、智能引擎提高准确度。方便的向导功能使得 WebPecker更容易配置和使用。

与其他传统扫描软件不同的是，WebPecker 对新兴的 Web2.0 应用和技术密切关注，内嵌自动javascript 解析器，支持复杂的 Web 应用（如 Ajax、SOAP、JavaScript、Flash等）。适用于通过internet、intranet、extranet进行网上交易或信息发布的大、中、小企业，如金融、证券、政府、电子商务、电信运营商、基金、网游、科研院所等各类企事业单位。

系统主要特性：

广度优先爬虫与网站目录还原技术，根据 Web 服务器和应用程序脚本语言类型自动做出调整。

多线程并发扫描，与审计同时进行，节省时间。

输入 URL 即可快速扫描，容易上手

扫描过程中自动量身定制 profile，结果更准确。

精选多种扫描策略。

状态检测技术，全面检测注入点，不会漏报。

支持主流数据库的漏洞验证技术。

支持 SSL 协议及使用证书的应用系统，如网银。

网页木马全面检测与定位。

多种方法检测网站是否存在敏感信息。

手工测试台，包含多个渗透测试工具。

灵活自定义选项，适用于高级用户。

多权限分级管理。

多角色报告，适用于管理层、技术人员。

合规报告、自定义报告、扫描结果趋势分析。

WebPecker 检测策略包括：

1)SQL 注入

2)Blind SQL 注入

3)XSS

4)CSRF

5)远程文件包含(RFI)注入

6)服务器端包含(SSI)注入

7)本地文件包含(LFI)

8)OS 命令注入

9)不充分的认证

10)不充分的 session 过期

11)SSL协议

12)服务器错误配置

13)目录索引与枚举

14)URL 重定向攻击

15)Cookie 安全性

16)目录遍历

17)Ajax 审计

18)敏感文件枚举

19)敏感信息泄漏

20)网页木马