在线营销
live chat
Acunetix 网络安全 漏洞扫描 防黑客攻击 网站分析 检测网站 解决网络漏洞 SQL注入 跨站点脚本攻击
 

Update time 2018-06-11

使用Acunetix AcuSensor进行交互式应用安全测试(IAST)

交互式应用安全测试(IAST)也称为灰盒测试,是一种将黑盒安全测试和白盒安全测试技术相结合的测试方法。

动态和静态漏洞评估技术的结合可提高漏洞测试结果的覆盖率和质量。IAST通常通过将检测代码嵌入正在运行的应用程序中来工作,该应用程序允许动态扫描程序在扫描时检查应用程序。

交互式应用程序安全性测试(IAST)扫描基于应用程序在扫描过程中的反应,通过额外的测试,覆盖范围和上下文对常规动态扫描(DAST)扫描进行补充。由于扫描正在进行时已在服务器端安装并启用的代理,因此该信息可供扫描器使用。

Acunetix AcuSensor是Acunetix针对PHPASP.NETJava Web应用程序的IAST产品。默认情况下Acunetix包括AcuSensor,通过在运行应用程序的服务器上安装一个轻量级传感器来工作。

以下是在自动安全扫描中使用AcuSensor的许多重要优点。

验证

由于AcuSensor在扫描运行时具有后端应用程序可见性,因此它在整个扫描过程中为Acunetix提供了额外的信息和上下文。这使AcuSensor扫描更准确,并进一步降低了误报错误。

除了能够检测到更多SQL注入漏洞(包括SQL INSERT语句中)之外,AcuSensor还可以通过运行其他测试并观察应用程序在后台服务器上的行为,以100%的准确率验证是否存在严重的严重漏洞,结束。

  • SQL注入
  • 跨站脚本
  • 代码执行
  • CRLF注射
  • 目录遍历
  • 任意文件创建
  • 任意文件删除
  • 电子邮件注入
  • 上传文件
  • 文件包含
  • 文件篡改
  • PHP代码注入
  • PHP SuperGlobals覆盖

代码行可见性

AcuSensor可以识别特定代码行(针对PHP应用程序)的漏洞,或提供详细的堆栈跟踪(针对ASP.NET和Java应用程序)。此外,AcuSensor还提供了SQL查询的预览,因为它们将由数据库为其发现的SQL注入漏洞运行。

这意味着确定的漏洞的修复速度要快得多,因为安全和开发团队会立即指出问题的根源,而不是浪费时间来追踪漏洞来源。