# 智能网络漏洞扫描器
SmartScanner 是一款基于人工智能的网络漏洞扫描器,使测试过程更加愉快和可靠。
# 人工智能
每个网站和网络应用程序都是独一无二的,并且一种方法并不适合所有情况。SmarScanner 利用机器学习和人工智能方法来调整其方法以适应目标的行为。因此,与其他自动化工具相比,SmartScanner 的错误发现更少,结果也更可靠。
SmarScanner 中人工智能的一些用例如下:
- 通过使用机器学习来识别易受攻击的页面,并查看数千个页面并将它们分类为易受攻击和非易受攻击的页面
- 利用自然语言处理 (NLP) 技术检测 404 自定义页面
- ** 识别输入向量,** 例如 Base64 编码参数和潜在易受攻击的参数
- 对目标进行指纹识别并检测操作系统和数据库等底层技术
- 通过根据上下文评估结果的影响来计算安全风险。
变得聪明是我们的愿景。我们尝试设计和实现 SmarScanner 的每一个功能,让它一点一点变得更加智能。
# 全自动安全测试
SmartScanner 是完全自动化的,具有直观的用户界面。您只需输入网站网址并单击 “扫描” 按钮即可。它将自动抓取页面、收集信息并执行安全测试。
SmartScanner 可以自动识别各种技术和框架。它可以检测目标的底层操作系统、编程语言以及 WordPress、Joomla 和 Drupal 等 CMS。
还可以微调扫描。例如,排除某些页面或定义输入向量。您可以在扫描配置中轻松做到这一点。
# 自动渗透测试
渗透测试是对计算机系统进行授权的模拟网络攻击。执行它是为了评估系统的安全性。渗透测试的目标是找出未经授权方访问系统的可能性。根据渗透测试的结果,您可以完成完整的风险评估。
SmartScanner 只是自动执行此过程。您只需输入您的网站地址并开始扫描。SmartScanner 会自动扫描您的网站以查找其使用的技术,并测试数百个漏洞和攻击。
此扫描过程对于每个网站都是唯一的。例如,如果您的网站未使用 WordPress,SmartScanner 不会测试 WordPress 攻击。而且,您甚至不需要告诉 SmartScanner 您的网站正在使用哪些技术。
识别出漏洞后,SmartScanner 并不会就此停止。它试图确认和评估影响。例如,在命令执行漏洞中,SmartScanner 执行无害的命令并检查结果以确认影响。
SmartScanner 提供漏洞的严重性,并根据总体结果计算目标的总体风险系数。除了问题描述和技术细节等漏洞报告外,SmartScanner 还提供修复漏洞的补救措施。
使用 SmartScanner,您可以生成 PDF 报告或导出 JSON 文件,其中包括所有结果和详细信息以及执行摘要。
# 全面的安全测试
在开始扫描之前,您可以指定要测试的安全问题。在主页上,单击 change scan config
进入扫描配置。在该 Tests
选项卡中,您可以选择安全测试。
您还可以使用 来选择预定义的测试 Test Profile
。以下是可用的预定义测试。
- Default
- No Test
- OWASP Top 10
- Passive
- Headers Security
- High Impact
- Custom
# 测试所有安全问题
Default
扫描配置中的测试配置文件包括针对除拒绝服务 (DOS) 测试之外的所有安全问题的测试。
# OWASP 十大 Web 应用程序安全风险测试
OWASP Top 10 是针对开发人员和 Web 应用程序安全性的标准意识文档。它代表了对 Web 应用程序最关键的安全风险的广泛共识。 OWASP Top 10
在扫描配置的测试配置文件中选择以检查 OWASP Top 10 中的所有漏洞。2017 年和 2013 年的 OWASP Top 10 都包含在此配置文件中。
# 被动扫描网站
被动扫描检测可以通过正常浏览网站来识别的安全问题。在这种类型的扫描中,不会向服务器发送格式错误的请求。在这种类型的扫描中,DOS 或对后端造成任何损坏的风险是最小的。被动扫描还可以减少被 WAF 阻止的机会。
💡另请阅读为什么应该在网站上使用被动漏洞扫描。
在测试配置文件中选择 Passive
以执行被动扫描。
# 测试 HTTP 标头的安全性
拥有强大的 HTTP 标头集可以使您的 Web 服务器安全可靠。配置 Web 服务器发送安全标头需要进行大量测试。SmartScanner 配置中有一个专用的测试配置文件,可以快速跟踪此过程,并轻松测试和应用 HTTP 标头安全性所需的更改。
在测试配置文件中选择 Headers Security
以执行完整的 HTTP 标头安全扫描。
# 查找所有关键漏洞
如果您想测试严重的安全问题,可以选择 High Impact
测试配置文件
# 专为现代网络安全测试而构建
现代 Web 应用程序严重依赖 JavaScript。SmartScanner 可以评估网页上的脚本并收集所有 Ajax 请求和隐藏内容。
随着 HTML5 的引入,WebSocket、跨源资源共享 (CORS)、本地存储、Web Workers 和许多其他新技术的使用比以往任何时候都更加频繁。这些新功能给任何 Web 应用程序带来了各自的弱点。
SmartScanner 可以使用 HTML5 等新 Web 技术、React 和 Vue 等前端 JavaScript 库、无服务器应用程序、JAMStack 和单页应用程序 (SPA) 来测试应用程序。
# WordPress、Drupal、Joomla!和其他 CMS 安全扫描器
SmartScanner 配备了针对 WordPress、Joomla! 中常见报告漏洞的测试。® 和 Drupal。这些漏洞通常无法通过简单扫描发现,因为它们可能需要自定义配置进行测试。这些测试是从 CVE 详细信息、漏洞利用数据库等公共数据库添加的。
除了上述测试之外,SmartScanner 还可以测试和识别任何 CMS 的插件、组件和模块中未发现的漏洞和零日漏洞。SmartScanner 自动测试 SQL 注入、XSS、远程命令执行以及其他安全测试。