UnisWebScanner網(wǎng)站安全掃描系統(tǒng)

網(wǎng)站安全掃描系統(tǒng)4.0是攻城獅多年研究網(wǎng)站相關(guān)系統(tǒng)開(kāi)發(fā)的電腦軟件，針對(duì)各種網(wǎng)絡(luò)攻擊手段和腳本制作出來(lái)，可謂是網(wǎng)站系統(tǒng)安全的核心結(jié)晶。有了它，您的網(wǎng)站遭受黑客攻擊的風(fēng)險(xiǎn)就下降了很多，它能自動(dòng)化工作，也可以保存用戶下達(dá)的指令手動(dòng)運(yùn)行。

簡(jiǎn)介

人們的日常生活已經(jīng)離不開(kāi)網(wǎng)絡(luò)，而網(wǎng)絡(luò)上最重要的就是網(wǎng)站，越來(lái)越多的動(dòng)態(tài)元素存在于網(wǎng)站web當(dāng)中，而這里面又隱藏了多少安全隱患和漏洞呢。習(xí)慣于居安思危的人類，當(dāng)然不會(huì)放過(guò)這樣的誤差。

網(wǎng)站的管理人員不僅需要極大的耐心，還需要專業(yè)的技術(shù)經(jīng)驗(yàn)，基于安全的管理將占用大量工作時(shí)間。因此自動(dòng)化的漏洞掃描工具能夠大幅簡(jiǎn)化對(duì)于未知安全隱患的檢測(cè)工作，有助于Web管理人員將精力轉(zhuǎn)向如何處理安全風(fēng)險(xiǎn)上。

與其他傳統(tǒng)掃描軟件不同的是，UnisWebScanner 對(duì)廣泛應(yīng)用的 Web2.0 技術(shù)密切關(guān)注，并內(nèi)嵌自動(dòng) javascript 解析器，支持復(fù)雜的 Web 應(yīng)用（如 Ajax、SOAP、JavaScript、Flash等）。適用于通過(guò)internet、intranet、extranet進(jìn)行網(wǎng)上交易或信息發(fā)布的大、中、小企業(yè)，如金融、證券、ZF、電子商務(wù)、電信運(yùn)營(yíng)商、基金、網(wǎng)游、科研院所等各類企事業(yè)單位。

功能特性

UnisWebScanner網(wǎng)站安全掃描系統(tǒng)是針對(duì)Web安全性進(jìn)行弱點(diǎn)評(píng)估的智能檢測(cè)系統(tǒng)，是多年深入研究當(dāng)前各類流行Web攻擊手段（如網(wǎng)頁(yè)掛馬攻擊、SQL注入漏洞、跨站腳本攻擊等）的經(jīng)驗(yàn)結(jié)晶。UnisWebScanner 通過(guò)復(fù)雜的和全面的方法檢測(cè) Web 應(yīng)用安全漏洞，通過(guò)并發(fā)爬蟲(chóng)審計(jì)技術(shù)對(duì)您的網(wǎng)站進(jìn)行全面的、深入的、徹底的風(fēng)險(xiǎn)評(píng)估，綜合性的規(guī)則庫(kù)（本地漏洞庫(kù)、ActiveX庫(kù)、網(wǎng)頁(yè)木馬庫(kù)、網(wǎng)站代碼審計(jì)規(guī)則庫(kù)等）以及業(yè)界最為領(lǐng)先的智能化爬蟲(chóng)技術(shù)及SQL注入狀態(tài)檢測(cè)技術(shù)，使得相比國(guó)內(nèi)外同類產(chǎn)品智能化程度更高，速度更快，結(jié)果更準(zhǔn)確。

系統(tǒng)通過(guò)特征匹配及沙箱驗(yàn)證技術(shù)對(duì)網(wǎng)站頁(yè)面進(jìn)行分析，以檢測(cè)頁(yè)面是否被惡意攻擊者植入網(wǎng)馬。一般的掃描系統(tǒng)僅能通過(guò)頁(yè)面代碼特征進(jìn)行關(guān)鍵字的匹配檢測(cè)，而UnisWebScanner不僅包含了基于頁(yè)面特征的檢測(cè)方式更集成了驗(yàn)證頁(yè)面行為的沙箱環(huán)境，能夠準(zhǔn)確判斷出“彈出式廣告”、“浮動(dòng)廣告”等在代碼特征上類似掛馬的非威脅內(nèi)容，并且能夠模擬用戶訪問(wèn)頁(yè)面時(shí)的內(nèi)存及瀏覽器操作，使檢出率顯著提升，同時(shí)大大降低誤報(bào)率。

系統(tǒng)使用了先進(jìn)的基于狀態(tài)檢測(cè)的SQL注入漏洞掃描技術(shù)，不同于目前國(guó)內(nèi)外產(chǎn)品常用的基于錯(cuò)誤的簡(jiǎn)單檢測(cè)技術(shù)，加上先進(jìn)的向量比較算法，使得結(jié)果更加精確。

系統(tǒng)包含完整的SQL注入漏洞驗(yàn)證機(jī)制，采用基于狀態(tài)檢測(cè)的技術(shù)對(duì)數(shù)據(jù)庫(kù)進(jìn)行滲透，以驗(yàn)證漏洞可能對(duì)站點(diǎn)造成的風(fēng)險(xiǎn)威脅。驗(yàn)證系統(tǒng)支持任意語(yǔ)言編寫(xiě)的站點(diǎn)，同時(shí)支持反饋及不反饋錯(cuò)誤信息的SQL注入漏洞驗(yàn)證。使得管理人員對(duì)站點(diǎn)的安全狀況能夠有真正準(zhǔn)確的了解。

跨站腳本漏洞的危害越來(lái)越大，攻擊者通過(guò)跨站攻擊可以獲得管理員、高級(jí)用戶的信任關(guān)系，劫持用戶的cookie驗(yàn)證狀態(tài)，甚至可能直接執(zhí)行有害的攻擊代碼。UnisWebScanner系統(tǒng)用夠針對(duì)各種編碼方式生成的變量進(jìn)行跨站腳本漏洞檢測(cè)，并將HTTP頭及相關(guān)信息進(jìn)行記錄，對(duì)進(jìn)一步分析漏洞的成因及危害性提供判斷資料。

-支持SSL協(xié)議站點(diǎn)頁(yè)面及使用證書(shū)的應(yīng)用系統(tǒng)，如網(wǎng)上銀行等。

-支持掃描密碼自動(dòng)完成漏洞，即能夠?qū)Ψ怯脩糨斎胝�確用戶相關(guān)信息時(shí)產(chǎn)生的繞過(guò)認(rèn)證機(jī)制獲得訪問(wèn)權(quán)限的漏洞檢測(cè)。

-支持對(duì)站點(diǎn)敏感信息泄漏的檢測(cè)，能夠檢查站點(diǎn)的錯(cuò)誤提示頁(yè)等是否將服務(wù)器及相關(guān)系統(tǒng)敏感信息泄漏。防止惡意攻擊者利用相關(guān)信息對(duì)站點(diǎn)實(shí)施進(jìn)一步攻擊。