资料下载

免费的网络漏洞扫描仪

带有交互式应用程序安全性测试(IAST)的精确Web应用程序漏洞扫描

由管理员撰写。发表于 Web应用程序漏洞扫描程序

5 1 1 1 1 1 评分5.00(1投票)
压住他

Web应用程序漏洞测试有两种主要方法 Web应用程序安全性测试. 动态应用程序安全性测试 (DAST), 也被称为 黑匣子测试, 模仿攻击者.

该应用程序已从 无法访问 源代码 或者 网络服务器. 静态应用程序安全性测试 (SAST), 也被称为 白盒测试, 模仿代码审查员。从内部分析应用程序源代码。

在我们深入研究这些有趣的东西之前 网络应用测试漏洞扫描技术,让我们快速看一下其中的内容:

分析动态安全性&静态应用程序安全性测试

这两种方法都有很多优点。的 DAST 该方法非常实用并且具有 覆盖面广。您可以运行 黑匣子测试 甚至使用最奇特的技术或语言编写的应用程序。它的覆盖范围更大,因为检测到的漏洞可能是由错误的配置(例如,不是源代码中的错误)引起的。

另一方面, SAST 可以让您发现一些从外面看时并不明显的东西。例如,其他URL或参数。通过白盒测试,您还可以立即知道问题在源代码中的位置,从而加快了解决速度。

交互式应用程序安全性测试

国际航空运输协会提供精确的Web漏洞扫描

想象一下,如果将两种方法结合在一起,那么安全性扫描将多么有效!不,这不仅是理论,而且确实存在。这两种方法的合并称为 交互式应用程序安全性测试 (国际航空运输协会) 要么 灰箱测试 并且可以在Acunetix中使用(由于其 AcuSensor技术)。

A 免费试用 可以从以下网站下载Web漏洞扫描程序: Acunetix

您可以使用IAST做什么?

Web应用程序安全性测试A 灰箱测试解决方案 在关键调用(例如数据库调用,系统调用等)周围添加钩子。那些钩子,通常被称为 感应器,与 国际航空运输协会扫描仪。挂钩不需要访问源代码。扫描程序直接与解释器或应用程序服务器一起使用。

感测器 提供有关呼叫的其他信息。此外,他们可以提供 完整的网站地图 从Web服务器的角度来看。例如,一个 独立的DAST扫描仪 将找不到一个 网址 或一个 网址参数 未与应用程序链接或以某种方式宣布。但是, 完整的网站地图国际航空运输协会扫描仪 可以尝试 测试未通知的网址/参数.

一些 安全漏洞 也可能是由于 配置不良。这是另一项活动 国际航空运输协会扫描仪 可以脱颖而出。传感器可以帮助您在解释器/编译器配置文件中发现安全错误,并为扫描器提供其他信息,以根据这些配置属性来进行攻击。

最后但并非最不重要的一点是,这两种方法一起对 减少误报!例如,当您运行基于时间的盲目漏洞测试时, DAST扫描仪,扫描程序可能仅猜测时间延迟是由漏洞(例如,处理睡眠命令的SQL Server)引起的。当您有一个传感器正在监视服务器端的运行状况时,可以百分百确定是什么导致了时间延迟。

Web应用程序漏洞扫描-自动化救援

使用传感器需要 没有其他工作 来自开发商。的 国际航空运输协会扫描仪 使用巧妙的技巧来拦截呼叫。与解释器一起使用时,它侦听解释器和Web服务器之间的通信。它分析这种通信,找到所有潜在的危险呼叫,并使用更巧妙的技巧通过添加挂钩来即时修改呼叫。当它与 字节码编译器,它会与应用程序服务器进行通信。

国际航空运输协会 可能会使开发人员的工作更加轻松。如果您使用 DAST扫描仪 并且找到一个漏洞,开发人员始终需要遍历源代码来确定安全问题的位置。但是在某些情况下,传感器可能能够找出漏洞的根本原因,并向您显示代码行或为您提供堆栈跟踪。

Where’s 的 Catch? 支持PHP,Java和.NET

灰箱测试 看起来好得令人难以置信。唯一的问题是它的覆盖范围。就像 SAST扫描仪, 国际航空运输协会 仅适用于特定的编程语言和环境。在这一刻, AcuSensor 支持 的PHP, 爪哇。净。但是,考虑到根据W3Techs的调查,这三种技术是一起进行的 占地的94.4%,这对大多数人来说应该不是太大的问题。

返回“ Web应用程序安全扫描器”部分

相关文章

压住他

文章 阅读下一篇:

CCENT / CCNA

思科公司 路由器

  • SSL WebVPN
  • 保护路由器
  • 基于策略的路由
  • 棒上路由器

虚拟专用网安全

  • 了解DMVPN
  • GRE / IPSec配置
  • 站点到站点IPSec 虚拟专用网
  • IPSec模式

思科公司 救命

  • 视窗 8 虚拟专用网客户端
  • 视窗 7的VPN客户端
  • CCP显示问题
  • 思科支持应用程序。

视窗 2012

  • 新的功能
  • 发牌
  • Hyper-V / VDI
  • 安装Hyper-V

的Linux

  • 文件权限
  • Webmin
  • 群组-用户
  • Samba设置