تست نفوذ Acunetix

شرکت Acunetix واقع در کشور انگلستان می باشد که در زمینه تست نفوذ صفحات وب بصورت گسترده و حرفه ای فعالیت می کند. این شرکت یکی از معتبرترین شرکت های تولید کننده نرم افزار در این زمینه می باشد و همینطور در گارتنر جایگاه بسیار خوبی را به خود اختصاص داده است.

این محصول مورد تایید NSA آمریکا، سازمان ناسا، Sony و … می باشد.

70% سایت ها دارای آسیب پذیری هایی هستند که می توانند منجر به سرقت اطلاعات حساس شرکت ها مانند اطلاعات کارت اعتباری و لیست مشتریان شود. امنیت وب سایت باید در هر سازمان یک اولویت اصلی باشد اما متاسفانه در بسیاری از سازمان ها موضوعی پیش پا افتاده تلقی می گردد. هکرها همچنان روی برنامه های تحت وب مانند فروشگاه ها، فرم ها، صفحات ورود و محتوای پویا تمرکز می کنند. برنامه های کاربردی وب 24 ساعت شبانه روز در 7 روز هفته، در دسترس هستند و اطلاعات ارزشمندی را کنترل می کنند، زیرا اغلب آنها دسترسی مستقیم به داده های Back-end دارند.

فایروال ها، گواهی نامه های SSL و شبکه ها و سرورهای ایمن شده، هیچ یک قادر به جلوگیری از نفوذ هکرها نیستند. Acunetix (اکانتیکس) بطور خودکار وب سایت ها و برنامه های کاربردی تحت وب را برای SQL Injection ، XSS ، XXE ، SSRF ، CSRF ، Host Header Attackers و بیش از 3000 آسیب پذیری دیگر برنامه های تحت وب، آزمایش می کند. علاوه بر این، Acunetix (اکیونتیکس) ابزارهای مدیریت آسیب پذیری را فراهم می کند تا اطمینان حاصل شود که آسیب پذیری ها نه تنها کشف شده اند، بلکه در شرایط بحرانی بودن کسب و کار، بهبود می یابند.

قابلیت های نرم افزار تست نفوذ acunetix

  • پویش و تجزیه و تحلیل دقیق – بطور خودکار تمام وب سایت ها را اسکن می کند

  • بالاترین میزان تشخیص آسیب پذیری با False Positives بسیار کم

  • مدیریت یکپارچه آسیب پذیری – اولیت بندی و کنترل کامل تهدیدات

  • قابلیت ادغام با WAF های محبوب و Issue Tracker ها

  • اسکن امنیت شبکه رایگان و ابزارهای تست دستی

  • قابل دسترس بصورت Online یا On Permise

  • قابلیت اسکن هزاران صفحه بطور همزمان و پرسرعت

  • قابلیت اسکن قدرتمند وب سایت ها برای یافتن باگ های sql injection , XSS و …

  • دارای تکنولوژی پیشرفته acu sensor

  • اسکنر تمام اتوماتیک برای تست وب سایت های ajax , web2 و …

  • پشتیبانی از صفحت دارای captcha و دارای پسورد

  • دارای فاکتورهای گزارش دهنده بسیار زیاد

  • دارای تکنولوژی بسیار هوشمند با قابلیت پیدا کردن نوع وب سرور و اسکریپت

  • قابلیت اسکن تمام سایت ها از جمله سایت های Flash و soap

  • اسکن هوشمند تمام پورتهای روی سرور

  • توضیحات درباره ی آسیب پذیری هایی که در وب سایت یا سرور شما پیدا کرده است و راهکار موثر جهت رفع آن

Acunetix از Imperva SecureSphere ، F5 BIG-IP Application Security Manager و FortiWeb WAF پشتیبانی می کند و می تواند به طور خودکار قوانین WAF مناسب را برای محافظت از برنامه های کاربردی وب در برابر آسیب پذیری های هدفمند که اسکنر می یابد، ایجاد کند. این امکان به شما اجازه می دهد تا بطور موقت از سواستفاده از آسیب پذیری های شدید، تا وقتی برطرف نشده اند، جلوگیری شود.

با بیش از 24 درصد از وب سایت های اینترنتی در حال استفاده از وردپرس، امنیت وردپرس در حال تبدیل شدن به عامل فزاینده ای در وضعیت امنیتی سازمان ها است. متاسفانه، هزاران افزونه وردپرس حاوی آسیب پذیری های شدید هستند که می تواند باعث شود مهاجمین به واسط اداری وردپرس دسترسی داشته باشند.

Acunetix می تواند تست امنیتی برای بیش از 1200 افزونه محبوب وردپرس و همچنین چندین تست نفوذ برای آسیب پذیری های اصلی وردپرس را انجام دهد. علاوه بر این، Acunetix  همچنین می تواند آسیب پذیری های جوملا را شناسایی کند و همچنین سیستم مدیریت محتوای دروپا ل که سهم خود را از آسیب پذیری ها و ناسازگاری ها دارند.

اسکن پلاگین های وردپرس از نظر وجود آسیب پذیری

Acunetix با شناسایی خودکار وردپرس، تست های امنیتی را برای افزونه های وردپرس و آسیب پذیری های هسته وردپرس را راه اندازی می کند.

  • اسکن آسیب پذیری برای بیش از 4000 پلاگین

  • چک کردن کلمات عبور ضعیف کاربر ادمین

  • شناسایی بدافزار های پنهان شده در پلاگین ها

پس از وردپرس، جوملا و دروپال یکی از گسترده ترین سیستم های مدیریت محتوا (CMS) هستند و سهم خود را از آسیب پذیری ها دارند.

  • تشخیص خودکار نسخه های آسیب پذیر جوملا، دروپال و مگنتو

  • تست برنامه های کاربردی تحت وب جوملا، دروپال و مگنتو برای آسیب پذیری های ناشناخته و پیکربندی های نادرست

Vulnerability Management (VM)  تلاش دائمی برای کشف، اندازه گیری و آسیب پذیری است. Acunetix  ویژگی های مدیریت آسیب پذیری پیشرفته را به سمت هسته خود متمرکز می سازد و باعث می شود که برنامه VM را سریعتر بسازد و همچنین نتایج اسکنر را به سایر ابزارها و سیستم عامل ها ادغام نماید.

برای ایجاد و حفظ یک برنامه امنیتی عالی، کار گروهی و همکاری لازم است. ویژگی های Multi-user Acunetix  اجازه می دهد تا اعضای تیم امنیت، بصورت انعطاف پذیر و سازنده، دسترسی به منابع مورد نیاز خود را داشته باشند. ویژگی های VM اجازه می دهد تا تیم امنیتی به راحتی مشاهده یکپارچه ای از وضعیت امنیتی در سراسر اسکن بصورت مرکزی، داشته باشند.

برای ایجاد و حفظ یک برنامه امنیتی موثر، کار گروهی و همکاری لاز است. ویژگی Multi-user نرم افزار تست نفوذ اکیونتیکس به شما اجازه می دهد تیم خود را بصورت انعطاف پذیر و سازنده، با در نظر گرفتن سطح دسترسی آنها، مدیریت نمایید.

  • رابط کاربری تحت وب آسان برای استفاده

  • سیستم چند کاربره Role-Based

  • اولویت بندی ریسک ها بر اساس اطلاعات آسیب پذیری و اهمیت برنامه ها

  • مدیریت گروهی بسیار آسان

  • ارسال آسیب پذیری ها به Atlassian JIRA , GitHub و Microsoft TFS

  • گزارش گیری بسیار پیشرفته بر اساس استانداردهای جهانی مانند PCI DSS، OWASP Top 10، ISO 27001، HIPAA  و …

ویژگی فناوری DeepScan نرم افزار Acunetix، به اسکنر اجازه می دهد تا به شدت هر برنامه ی تحت وبی را آزمایش کند، مهم نیست که چه تکنولوژی آن را نوشته باشد.

در قلب  DeepScan، یک مرورگر وب کاملا خودکار وجود دارد که می تواند درک و ارتباط با تکنولوژی های وب پیچیده مانند  AJAX، SOAP / WSDL، SOAP / WCF، REST / WADL، XML، JSON، ابزار گوگل وب ابزار (GWT) و CRUD داشته باشد. این به Acunetix اجازه می دهد تا برنامه های کاربردی تحت وب را آزمایش کند درست مثل اینکه در داخل مرورگر کاربر اجرا می شود و اجازه می دهد اسکنر به صورت یکپارچه، با کنترل های پیچیده، درست مثل یک کاربر، تعامل داشته باشد.

تست کاربردی برنامه های تحت وب بدون دردسر

Acunetix می تواند به صورت اتوماتیک با تایید یک پیوند ورودی با استفاده از Recorder Sequence Login (LSR)، زمینه های تایید شده را آزمایش کند. Acunetix LSR تعداد زیادی از مکانیسم های تایید اعتبار را پشتیبانی می کند:

تایید اعتبار چند مرحله ای بصورت چند مرحله ای/سفارشی

تایید اعتبار بصورت سینگل

تایید اعتبار Captcha و Multi-Factor

تاکتیک های سنتی تست نفوذ امنیت برنامه های کاربردی (BlackBox) ، نمی توانند فرایند اجرا و تجزیه و تحلیل کدهای در حال اجرا را ببینند و به همین علت نمی توانند بفهمند چه اتفاقی افتاده است. Acunetix AcuSensor  ترکیبی از دو روش BlackBox و GrayBox است و قادر به تشخیص قابل توجهی از آسیب پذیری ها است.

تکنولوژی Acunetix AcuSensor ، یک اسکن دائمی بوسیله استقرار یک عامل در داخل سورس کد، برای فراهم آوردن قابلیت تست امنیتی برنامه کاربردی (IAST)، انجام می دهد. AcuSensor  سپس در هنگام اجرای سورس کد، بازخورد را به اسکنر می فرستد. این قابلیت به میزان قابل توجهی باعث افزایش بهره وری می شود که همین موضوع باعث کشف آسیب پذیری ها، بصورت سریع تر و دقیق تر می شود.

Acunetix AcuSensor دقت یک اسکن اکانتیکس را با بهبود پویش، تشخیص و گزارش آسیب پذیری ها، و کاهش False Positive، افزایش می دهد. Acunetix AcuSensor را می توان در برنامه های وب .NET، JAVA و PHP استفاده کرد.

تست کردن مناطق تأیید شده وب سایت ها و برنامه های کاربردی وب، برای اطمینان از پوشش کامل تست، بسیار ضروری است. Acunetix می تواند به صورت اتوماتیک با تایید یک پیوند ورودی با استفاده از Recorder Sequence Login (LSR)، مناطق تایید شده را آزمایش کند.

با استفاده از قابلیت LSR شما می توانید با رکورد کردن و وارد کردن نام کاربری و رمز عبور، صفحاتی که نیاز به دسترسی ورود دارند را مورد تست نفوذ قرار دهید.

 

ممیزی جامع امنیتی نیاز به بازرسی دقیق از محیط فعالیت های شبکه عمومی شما دارد. Acunetix  یک پلاگین محبوب OpenVAS را در Acunetix Online  در اختیار شما قرار می دهد تا یک اسکن امنیت شبکه جامع محیطی را که به طور یکپارچه با تست امنیت وب سایت شما ادغام شده است، از طریق سرویس cloud-based انجام دهید.

Acunetix موارد زیر را مورد آزمایش قرار می دهد :

  • کلمات عبور ضعیف

  • پیکربندی غیر ایمن وب سرور

  • دایرکتوری های با مجوز دسترسی های غیر ضروری

  • آسیب پذیری های DNS Server

  • تست دسترسی های FTP

  • پیکربندی درست Proxy Server ها

  • رمزهای SSL ضعیف

و بسیاری دیگر از گزینه های امنیتی پیشرفته

 

Acunetix دقیقا برای هزاران آسیب پذیری برنامه های کاربردی تحت وب از جمله SQL Injection و Cross-Site تست شده است. SQL Injectionیکی از قدیمی ترین و شایع ترین آسیب پذیری های نرم افزاری تحت وب است؛ این آسیب پذیری با اجازه به هکرها برای تغییر داده ها در کوئری SQL، موجب دسترسی آنها به دیتابیس می شود. حملات Cross-site scripting به مهاجمان اجازه می دهد اسکریپت های مخرب خود را اجرا کنند که این حملات می توانند با سو استفاده از کوکی ها، منجر به جعل هویت شوند. Acunetix رهبر تکنولوژی تشخیص انواع آسیب پذیری SQL Injection و آسیب پذیری های XSS است از جمله Out-of-band SQL Injection و DOM-based XSS

ویژگی ها :

  • تشخیص بیش از 4500 آسیب پذیری برنامه های وب

  • اسکن نرم افزار متن باز و برنامه های سفارشی ساخته شده

  • شناسایی آسیب پذیری های بحرانی با دقت 100٪

  • اسکن و پویش برنامه های کاربردی HTML5

  • بالاترین سطح شناسایی آسیب پذیری های بحرانی