Web漏洞扫描 UWS

Web漏洞扫描(UCloud Web Scan)是用于检测Web网站漏洞的安全服务。可以准确、全面扫描Web网站程序中存在的漏洞,避免漏洞被黑客利用影响网站安全;与传统或开源的漏洞扫描产品相比具有抓取数据更全面、误报率更低、漏洞库更新及时且不影响业务等优势。

优势

被动扫描方式,抓取数据更全面

被动扫描通过不间断收集网站新增URL,保证采集数据完整,同时验证历史漏洞修复情况。于夜晚对URL进行扫描分析,不影响高峰时正常业务运行。与传统的爬虫抓取方式相比,具有在多网站页面情况下遗漏率更低。

低误报率,提升使用效率

通过专业安全团队的配置经验及对网络情况的深入了解,漏洞扫描系统具备更低误报率。同时无需进行复杂的配置降低因配置错误产生的漏洞误报,防止错误信息掩盖了真实的安全威胁。并减轻使用者需要验证漏洞的工作量。

全智能自动化,自动复查漏洞

漏洞扫描系统支持全自动化智能识别,使用者不需要对漏扫软件做复杂的参数配置且具备复查的功能,可以对上一次扫描到的漏洞进行二次检查,确认漏洞修复状态,并标记已修复漏洞。

漏洞库更全面,更新更及时

漏洞库不仅包括常见的web漏洞类型,还支持识别第三方开源软件漏洞。相比于开源的漏洞扫描软件,具有专门团队维护漏洞库,确保漏洞库更新的及时度。

采用旁路部署,不对业务造成任何影响

采用旁路部署, 部署方式灵活简单、安全,不会对客户业务连续性造成任何影响。



使用场景

防止黑客利用网站漏洞进行攻击,造成利益损失和数据泄露

WEB应用系统易于被黑客利用各种各样的的漏洞进行攻击,常见的有SQL注入、缓冲区溢出、远程命令执行等。Web漏洞引起的安全事件很可能影响到用户体验,甚至对用户数据等业务核心内容造成严重的破坏,导致严重的经济损失。比如2014年6月,某知名网站服务器漏洞未修补导致770W用户数据泄露,这些用户数据在黑产论坛被公开售卖,导致多名用户受影响,也给该网站的声誉造成了不好的影响。

利用UCloud web漏洞扫描工具可以提前防范黑客利用漏洞进行攻击,提升网站的安全性,防止利益损失和数据泄露。


功能介绍

页面被动抓取

通过对网站流量进行旁路分析,提取出网站的全量页面,抓取的数据更全面。

可扫描识别漏洞类型

业界常见漏洞及全面0day漏洞库,包括但不仅限于:

  • SQL注入漏洞,支持基于GET、POST方式提交的至少包括字符、数字、搜索等的注入漏洞
  • 支持控制台运维管理操作
  • Cookie注入漏洞,支持基于Cookie方式提交的至少包括字符、数字、搜索等的注入漏洞
  • XSS漏洞,支持基于GET、 POST方式的跨站攻击漏洞
  • CSRF漏洞
  • 目录遍历漏洞
  • 信息泄漏漏洞
  • 认证方式脆弱,包括但不限于各种登录、绕过、常见帐号、弱口令等
  • URL Rewriter、Struts 2、Jboss、Jekings、Djingo等企业开源框架漏洞

自有0day漏洞库, 并可同步开源第三方漏洞响应平台数据。专业团队维护,漏洞库自动升级更新。

扫描报告展示(含专业修复指引)

漏洞信息包括URL、漏洞名称、漏洞描述等详细信息 。 并对漏洞提出相应的安全加固建议,给出专业的修复指引,引导并帮助用户修补漏洞。