GS logo

GS logo

Invicti 700x150

Netsparker

Netsparker?

Netsparker是一款自动化但完全可配置的Web应用程序安全扫描仪,可让您扫描网站、Web应用程序和Web服务,并识别安全漏洞。Netsparker可以扫描所有类型的Web应用程序,无论它们使用何种平台或语言构建。

Netsparker是唯一在线Web应用程序安全扫描仪,它以只读和安全的方式自动利用已识别的漏洞,以确认已识别的问题。它还提供了漏洞的证明,因此您无需浪费时间手动验证它。例如,在检测到 SQL 注入漏洞的情况下,它将显示数据库名称作为漏洞的证明。

我们的扫描技术旨在帮助您轻松保护Web应用程序,而无需大惊小怪,因此您可以专注于修复报告的漏洞。如果Netsparker无法自动确认漏洞,它将通过在漏洞前加上“[可能]”并分配确定性值来通知您它,以便您知道应该立即修复什么。

 

关键概念

这是Netsparker中的关键概念列表。

概念

描述

高度准确

Netsparker 生成高精度的 Web 应用程序安全扫描,其漏洞经过验证,证明它们不是假阳性。

基于证据的扫描?

我们的基于校对的扫描技术通过以只读和安全的方式利用它们,主动自动验证检测到的漏洞,确认它们是真实的,而不是假阳性。根据漏洞类型,Netsparker将生成证明。一些漏洞还允许您手动利用它们或生成概念证明。

这完全安全。例如,当利用 SQL 注入漏洞并为其生成漏洞漏洞证明时,扫描仪只会尝试从数据库读取数据,而不是从数据库中写入或删除数据。

概念证明

Netsparker识别漏洞,然后在网络漏洞扫描期间安全地利用它们。这个概念证明是证明漏洞存在的实际漏洞。而且,如果您需要为开发人员重现漏洞,这非常有用。

这就是XSS漏洞报告的样子,其中证明URLNetsparker用来利用漏洞的。

剥削证据

漏洞证明用于报告漏洞被利用后可以从脆弱目标中提取的数据,证明被漏洞可能产生的影响,并证明它不是假阳性。这就是 SQL Injection 漏洞的情况。

Netsparker扫描仪识别以下漏洞类型时,它们可以生成证明:

SQL注入

布尔SQL注入

SQL注入

远程文件包含(RFI

命令注入

盲命令注射

XML外部实体(XXE)注入

远程代码评估

本地文件包含(LFI

服务器端模板注入

远程代码执行

通过本地文件包含注入

如果Netsparker无法自动证明漏洞的存在,我们将建议您再次检查其发现。

脆弱性

漏洞是您网站或网络应用程序中的安全弱点,为恶意黑客提供访问、访问数据或非法或非法目的的漏洞。

问题

问题是任何检测到的漏洞的名称、类型、日期和其他详细信息。(请参阅问题)。

严重性

Each vulnerability is assigned a different severity or threat level according to the damage it could do and the urgency with which it requires fixing. (see Vulnerability Severity Levels).

扫描政策

Netsparker允许您使用扫描策略,以便根据您的需求确定和指定扫描的类型、范围和目标。(请参阅扫描策略)。

计划扫描

扫描可以立即启动,也可以安排适合您的时间,包括定期扫描。(请参阅调度扫描)。

综合

Netsparker集成了多种软件和工具,使您能够与现有的SDLC连接,包括漏洞管理系统、问题跟踪系统、持续集成系统、单点登录提供商、团队消息系统和Web应用程序防火墙。(请参阅集成)。

基于证明的扫描?技术的好处

以下是扫描后流程自动化的一些关键好处:

  • 您不必手动验证扫描仪发现的检测到的漏洞,从而节省可用于修复它们的时间
  • 使用Netsparker安全扫描仪不需要经验丰富的安全专业人员,因为结果会自动为您确认(也无需知道如何复制发现)
  • Web应用程序中发现漏洞的过程将花费更少,因为您可以将其分配给技术较低的人员。
  • 如果你是QA,开发者不会发回来证明他们的代码存在漏洞
  • 作为开发人员或服务提供商,您不需要说服您的上级或客户解决他们的问题,只需向他们出示证据即可!

网火花企业和网火花标准有什么区别?

Netsparker Enterprise is a scalable, multi-user web application security solution and Netsparker Standard is an on-premises desktop web vulnerability scanner

有关更多信息,请参阅Netsparker标准和Netsparker企业比较

Netsparker爬行和扫描技术

Netsparker拥有行业领先的扫描技术。两个版本都是围绕相同的爬行和基于证明的扫描技术构建的。因此,在Web应用程序覆盖率、漏洞检测和安全缺陷方面,您会得到相同的结果。

Netsparker Web应用程序安全扫描仪概述

Netsparker的标准版是为那些进行渗透测试的人构建的,通常扫描不到50个网站。

http://www.globalsafe.com.cn/5506c117-b59a-4bd8-ae09-d511bb07aa75" alt="yb6blskoaotwyysqggnxn8kqok0p9rb6rz6.png">

Netsparker Enterprise是一个多用户平台,旨在帮助企业管理数千个网站的长期安全。其内置工具还有助于实现大多数扫描后任务的自动化,例如问题管理,这允许团队高效和精确地协作。

http://www.globalsafe.com.cn/6a626fee-b869-4d77-98cb-f4f903093ab5" alt="pwfeikywcrb-q5mhsgbmiw2kejacvy2sxmk.png">

服务的可伸缩性

可伸缩性是版本之间的主要区别。Netsparker Standard的资源仅限于其运行硬件的规格。它旨在一次扫描一个或多个应用程序。如果您需要同时扫描多个网站,您可以手动启动标准扫描仪的多个实例。Netsparker Enterprise的优势在于,由于它是托管的网络漏洞扫描器,由于亚马逊的云(AWS)基础设施,其资源几乎是无限的。

特色亮点:网站组

Netsparker Enterprise允许您对网站进行分组,配置通用扫描设置,并一键启动或安排网络安全扫描。

http://www.globalsafe.com.cn/2d902fb7-8e14-448d-9fa4-5aa7b2da7e02" alt="mizb2lulgfbdrr122duytlees8acuiwlx90.png">

跟上新的网络安全威胁

关注我们的网络应用程序安全博客,您会注意到我们经常发布软件更新。事实上,我们的漏洞检查清单每天都在增加。发布频繁的更新可确保您扫描Web应用程序以抵御新的安全威胁和漏洞。发布新安全检查的响应时间也至关重要,特别是在发现并利用Apache Struts等漏洞时。

  • Netsparker Standard 每次推出都会检查更新。您可以在几分钟内应用更新。
  • Netsparker Enterprise 免维护。我们更新服务,更新自动可用。

网络安全扫描仪适配性

通常,桌面软件比在线服务更可配置。原因是在线服务是围绕一个引擎构建的,该引擎旨在迎合更广泛的客户。因此,它的可配置参数较少,导致一些限制。

但是,Netsparker的情况并非如此。任何可以在Netsparker Standard中配置的东西也可以在Netsparker Enterprise中配置,例如URL重写规则和其他爬虫选项、HTTP连接属性和其他扫描策略设置。

http://www.globalsafe.com.cn/6bc0c91d-ffba-43a1-9bc3-72f05dc48035" alt="7fz18f-xhrvwik_ab-nwth047zivsmfgvgx.png">

团队合作

  • Netsparker Standard是一个桌面应用程序,专为可以访问安装计算机的单个用户而设计。
  • Netsparker Enterprise是一个多用户环境。每个团队成员在Netsparker Enterprise版中都有自己的用户帐户,并拥有正确的特权,可以启动Web应用程序安全扫描,查看报告和问题。作为管理员,您可以为每个用户配置不同的特权。

http://www.globalsafe.com.cn/dcdb6b82-6639-4466-af8a-fa387220ab79" alt="nh67hgyybghbcfjkerpzetpwavmzx0laltu.png">

特色亮点:漏洞管理与任务

就像专用的错误跟踪系统一样,Netsparker Enterprise允许您将已识别的漏洞作为任务分配给团队成员进行补救。这是跟踪许多Web应用程序安全性时的一项基本功能。

http://www.globalsafe.com.cn/638f5442-be9d-49a7-a30d-38e3d76e011b" alt="60meh_eeopjqck7hpodxvqi4lr6zcbaulds.png">

标记为固定(未经确认)的任务会自动重新扫描。根据结果,它们要么关闭,要么重新开放并重新分配。

漏洞管理系统旨在确保每个用户知道自己需要做什么,并自动检查结果和修复程序。您还可以集成现有的错误跟踪解决方案。

http://www.globalsafe.com.cn/a8c459f9-e442-4e83-8928-045d9de66398" alt="cnhsviwqphl3lt35prlorxo3fcteek9bahv.png">

SDLC中的Web应用程序安全扫描

标准版和企业版都可以轻松集成到您的SDLC和持续集成流程中。

  • Netsparker Standard具有命令行支持,允许您轻松编写其他应用程序可以触发的脚本以启动自动扫描。
  • Netsparker Enterprise 有一个广泛且文档齐全的 API,您可以使用该 API 触发 Netsparker Enterprise 仪表板中可用的任何类型的操作。

确保Web应用程序的安全

启动单个Web应用程序安全扫描并修复已识别的漏洞可能相当困难。更需要经常扫描所有Web应用程序,并确保检测到的漏洞得到修复,并且应用的修复程序不会打开新的安全漏洞。

  • 如果您使用Netsparker标准,您可以比较同一网站上的不同扫描结果。我们的重新测试和增量扫描允许您确定扫描之间的差异并跟踪所有问题。比较结果很容易,但如果你有很多网站,则很耗时。
  • 这就是Netsparker Enterprise的亮点。每次扫描网站或网络应用程序时,其趋势和相关报告都会自动更新。这否定了手动比较结果的必要性。

http://www.globalsafe.com.cn/f1879892-ed87-44d0-91f6-755b16a10d67" alt="-b7j4y4kzythbgh3ujbtj79cw-vsv5hozpm.png">

手动爬行和安全扫描

如果您需要手动抓取网站或其部分,您需要通过扫描仪代理流量,以便它捕获流量,识别攻击表面,然后扫描它们。Netsparker Standard可用于手动爬行。

使用Netsparker Enterprise,您不能,因为它是基于云的产品。尽管如此,您仍然可以通过配置浏览器通过本地代理(如Fiddler)代理流量并捕获流量来实现相同的结果。一旦捕获了流量,您可以将Fiddler捕获导入Netsparker Enterprise并启动扫描。

企业版还是标准版Web应用安全扫描器?

  • 如果你的团队小,网站数量少,而且你更喜欢动手,Netsparker Standard是很好的选择。
  • 如果您在大型团队中运营,并且有许多网站和网络应用程序需要保护,并且需要支持工具来确保团队成员之间的协作,建议使用Netsparker Enterprise。您还将为每个用户访问Netsparker标准版。