» » » Acunetix Web Vulnerability Scanner 9.0 Build 20130904 Retail

Acunetix Web Vulnerability Scanner 9.0 Build 20130904 Retail

Acunetix Web Vulnerability Scanner 9.0 Build 20130904 Retail

Acunetix – первооткрыватель технологии сканирования веб-приложений, анонсировала новую функциональность в своих сканерах – проверка уязвимостей в формах загрузки файлов. Эта функциональность теперь доступна в сканере Acunetix Web Vulnerability Scanner.

Представленная новая функция «file upload forms vulnerability checks», которая определяет уязвимости при загрузки файлов.
Команда Acunetix проверяя несколько веб-приложений, обратила внимание, что большое количество известных веб-приложений, не имеет безопасных форм загрузки файла, что влечет за собой несанкционированный доступ к веб-сереверу компании. Для предотвращения этого, необходимо проверять: тип загрузочного файла (Mime Type), разширение, файл .htaccess, проверка заголовка изображения, верификацию данных от клиентской стороны.

Acunetix Web Vulnerability Scanner (WVS) работает следующим образом:
Acunetix WVS исследует и формирует структуру сайта, обрабатывая все найденные ссылки и собирая информация обо всех обнаруженных файлах;
Затем программа тестирует все web-страницы с элементами для ввода данных, моделируя ввод данных с использованием всех возможных комбинаций и анализируя полученные результаты;
Обнаружив уязвимость, Acunetix WVS выдает соответствующее предупреждение, которое содержит описание уязвимости и рекомендации по ее устранению;
Итоговый отчет WVS может быть записан в файл для дальнейшего анализа и сравнения с результатами предыдущих проверок.
Какие уязвимости обнаруживает Acunetix Web Vulnerability Scanner
Acunetix Web Vulnerability Scanner автоматически обнаруживает следующие уязвимости:
Cross site scripting (выполнение вредоносного сценария в браузере пользователя при обращении и в контексте безопасности доверенного сайта);
SQL injection (также и блинд инъект, но к сожелению он только находит место инъекции - но саму инъекцию не проводит)
База данных GHDB (Google hacking database) – перечень типовых запросов, используемых хакерами для получения несанкционированного доступа к web-приложения и сайтам.
Выполнение кода:
Обход каталога;
Вставка файлов (File inclusion);
Раскрытие исходного текста сценария;
CRLF injection
Cross frame scripting;
Общедоступные резервные копии файлов и папок;
Файлы и папки, содержащие важную информацию;
Файлы, которые могут содержать информацию, необходимую для проведения атак (системные логи, журналы трассировки приложений и т.д.);
Файлы, содержащие списки папок;
Папка с низким уровнем защиты, позволяющие создавать, модифицировать или удалять файлы.
А также идентифицирует задействованные серверные технологии (WebDAV, FrontPage и т.д.) и разрешение на использование потенциально опасных http-методов (PUT, TRACE, DELETE).

В новой версии представлено:
* Рикордер последовательного входа в систему, который поддерживает мночисленные формы для идентификации.
* Автоматический модуль распознавания сессии, при котором поисковый агент идентифицирует, когда сессия была прервана или закончена, или же автоматически авторизированна еще раз.
* Action с выпадающим меню, где активны и показаны его функции.
* Реализовано намного больше проверок в JSP, Java и Tomcat
Основные обновления в новой версии:
* Улучшенное управление cookie-файлами и обработка ссесиями, для поддерживания современных динамичиских сайтов.
* Port Scanner и Network Alerts появляются как отдельный узел от web alerts при просмотре результатов.
* Способность импортировать параметры настройки из инсталляции Version 6
* Добвленная Слепая инъекция SQL, предоставляющая тест, используя бездействие MySQL и функцию waitfor SQL MS. Что помогает в обнаружении специфических слепых инъекций SQL, которые не сообщают об изменении веб-страницы.

Дата: 2013
Платформа: Windows All
Интерфейс: Английский
Лекарство: Keymaker-tPORt
Размер: 25,30 Мб

Acunetix Web Vulnerability Scanner 9.0 Build 20130904 Retail

Комментариев пока нет, добавьте свой!

Информация

Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.