# 智能网络漏洞扫描器

SmartScanner 是一款基于人工智能的网络漏洞扫描器,使测试过程更加愉快和可靠。

Image

# 人工智能

每个网站和网络应用程序都是独一无二的,并且一种方法并不适合所有情况。SmarScanner 利用机器学习和人工智能方法来调整其方法以适应目标的行为。因此,与其他自动化工具相比,SmartScanner 的错误发现更少,结果也更可靠。

SmarScanner 中人工智能的一些用例如下:

  • 通过使用机器学习来识别易受攻击的页面,并查看数千个页面并将它们分类为易受攻击和非易受攻击的页面
  • 利用自然语言处理 (NLP) 技术检测 404 自定义页面
  • ** 识别输入向量,** 例如 Base64 编码参数和潜在易受攻击的参数
  • 对目标进行指纹识别并检测操作系统和数据库等底层技术
  • 通过根据上下文评估结果的影响来计算安全风险。

变得聪明是我们的愿景。我们尝试设计和实现 SmarScanner 的每一个功能,让它一点一点变得更加智能。

# 全自动安全测试

SmartScanner 是完全自动化的,具有直观的用户界面。您只需输入网站网址并单击 “扫描” 按钮即可。它将自动抓取页面、收集信息并执行安全测试。

SmartScanner 可以自动识别各种技术和框架。它可以检测目标的底层操作系统、编程语言以及 WordPress、Joomla 和 Drupal 等 CMS。

在 SmartScanner 中开始扫描

还可以微调扫描。例如,排除某些页面或定义输入向量。您可以在扫描配置中轻松做到这一点。

# 自动渗透测试

渗透测试是对计算机系统进行授权的模拟网络攻击。执行它是为了评估系统的安全性。渗透测试的目标是找出未经授权方访问系统的可能性。根据渗透测试的结果,您可以完成完整的风险评估。

SmartScanner 只是自动执行此过程。您只需输入您的网站地址并开始扫描。SmartScanner 会自动扫描您的网站以查找其使用的技术,并测试数百个漏洞和攻击。

此扫描过程对于每个网站都是唯一的。例如,如果您的网站未使用 WordPress,SmartScanner 不会测试 WordPress 攻击。而且,您甚至不需要告诉 SmartScanner 您的网站正在使用哪些技术。

识别出漏洞后,SmartScanner 并不会就此停止。它试图确认和评估影响。例如,在命令执行漏洞中,SmartScanner 执行无害的命令并检查结果以确认影响。

SmartScanner 提供漏洞的严重性,并根据总体结果计算目标的总体风险系数。除了问题描述和技术细节等漏洞报告外,SmartScanner 还提供修复漏洞的补救措施。

使用 SmartScanner,您可以生成 PDF 报告导出 JSON 文件,其中包括所有结果和详细信息以及执行摘要。

# 全面的安全测试

在开始扫描之前,您可以指定要测试的安全问题。在主页上,单击 change scan config 进入扫描配置。在该 Tests 选项卡中,您可以选择安全测试。

您还可以使用 来选择预定义的测试 Test Profile 。以下是可用的预定义测试。

  • Default
  • No Test
  • OWASP Top 10
  • Passive
  • Headers Security
  • High Impact
  • Custom

# 测试所有安全问题

Default 扫描配置中的测试配置文件包括针对除拒绝服务 (DOS) 测试之外的所有安全问题的测试。

# OWASP 十大 Web 应用程序安全风险测试

OWASP Top 10 是针对开发人员和 Web 应用程序安全性的标准意识文档。它代表了对 Web 应用程序最关键的安全风险的广泛共识。 OWASP Top 10 在扫描配置的测试配置文件中选择以检查 OWASP Top 10 中的所有漏洞。2017 年和 2013 年的 OWASP Top 10 都包含在此配置文件中。

# 被动扫描网站

被动扫描检测可以通过正常浏览网站来识别的安全问题。在这种类型的扫描中,不会向服务器发送格式错误的请求。在这种类型的扫描中,DOS 或对后端造成任何损坏的风险是最小的。被动扫描还可以减少被 WAF 阻止的机会。

💡另请阅读为什么应该在网站上使用被动漏洞扫描

在测试配置文件中选择 Passive 以执行被动扫描。

# 测试 HTTP 标头的安全性

拥有强大的 HTTP 标头集可以使您的 Web 服务器安全可靠。配置 Web 服务器发送安全标头需要进行大量测试。SmartScanner 配置中有一个专用的测试配置文件,可以快速跟踪此过程,并轻松测试和应用 HTTP 标头安全性所需的更改。

💡另请阅读用于保护网站安全的 HTTP 标头完整指南(备忘单)

在测试配置文件中选择 Headers Security 以执行完整的 HTTP 标头安全扫描。

使用 SmartScanner 测试 HTTP 安全标头

# 查找所有关键漏洞

如果您想测试严重的安全问题,可以选择 High Impact 测试配置文件

# 专为现代网络安全测试而构建

现代 Web 应用程序严重依赖 JavaScript。SmartScanner 可以评估网页上的脚本并收集所有 Ajax 请求和隐藏内容。

随着 HTML5 的引入,WebSocket、跨源资源共享 (CORS)、本地存储、Web Workers 和许多其他新技术的使用比以往任何时候都更加频繁。这些新功能给任何 Web 应用程序带来了各自的弱点。

SmartScanner 可以使用 HTML5 等新 Web 技术、React 和 Vue 等前端 JavaScript 库、无服务器应用程序、JAMStack 和单页应用程序 (SPA) 来测试应用程序。

# WordPress、Drupal、Joomla!和其他 CMS 安全扫描器

SmartScanner 配备了针对 WordPress、Joomla! 中常见报告漏洞的测试。® 和 Drupal。这些漏洞通常无法通过简单扫描发现,因为它们可能需要自定义配置进行测试。这些测试是从 CVE 详细信息漏洞利用数据库等公共数据库添加的。

除了上述测试之外,SmartScanner 还可以测试和识别任何 CMS 的插件、组件和模块中未发现的漏洞和零日漏洞。SmartScanner 自动测试 SQL 注入XSS远程命令执行以及其他安全测试。

此文章已被阅读次数:正在加载...更新于

请我喝杯茶

Shyo 微信支付

微信支付

Shyo 支付宝

支付宝