Netsparker Standard 中文漢化使用教程什么是Netsparker?
Netsparker簡介
Netsparker是一個自動化且能完全配置的Web應用安全掃描程序,此掃描使您可以掃描網站,Web應用程序和Web服務并識別安全漏洞。Netsparker可以掃描所有類型的Web應用程序,而與構建它們的平臺或語言無關。
Netsparker是唯一的在線Web應用程序安全掃描程序,它可以以只讀和安全的方式自動地利用已發現的漏洞來確認已發現的問題。它還提供了該漏洞的證明,因此您無需浪費時間手動進行驗證。例如,在檢測到SQL注入漏洞的情況下,它將顯示數據庫名稱作為利用證明。
我們的掃描技術旨在幫助您輕松保護Web應用程序,因此您可以專注于修復所報道的漏洞。如果Netsparker無法自動確認漏洞,它將以‘[Possible]’為前綴并分配確定值來通知您,因此您知道應立即修復該漏洞。
關鍵概念
這是Netsparker中的關鍵概念列表。
| 概念 | 描述 |
|---|---|
| 準確無誤 | Netsparker可以生成準確無誤的Web應用程序安全掃描,其漏洞都是經過驗證的,證明它們不是誤報。 |
| 基于證明的掃描? | 我們基于證明的掃描技術會主動并自動地驗證檢測到的漏洞,并以只讀和安全的方式利用它們,從而確認它們是真實的。根據漏洞的類型,Netsparker將生成證明。一些漏洞還使您可以手動利用它們或生成概念證明,這是完全安全的。例如,當利用SQL注入漏洞并為其生成利用證明時,掃描程序將僅嘗試從數據庫讀取數據,而不嘗試從數據庫寫入或刪除數據。 |
| 概念驗證 | Netsparker會識別漏洞,然后在Web漏洞掃描期間安全地利用這些漏洞。此概念證明是證明漏洞存在的實際證明。而且,如果您需要為開發人員重現該漏洞,這將非常有用。這就是XSS漏洞報告的樣子,Proof URL是Netsparker用來利用此漏洞的證據。 |
| 漏洞利用證明 | 漏洞利用證明用于報告一旦漏洞被利用就可以從漏洞目標中提取的數據,它證明被利用的漏洞可能產生的影響以及證明它不是假的。這就是SQL注入漏洞的樣子。 Netsparker掃描程序識別以下漏洞類型時,可以生成證明:1.SQL注入;2.布爾SQL注入;3.盲SQL注入;4.遠程文件包含(RFI);5.命令注入;6.盲指令注入;7.XML外部實體(XXE)注入;8.遠程代碼評估;9.本地文件包含(LFI);10. 服務器端模板注入;11.遠程執行代碼;12.通過本地文件包含進行注入。如果Netsparker無法自動證明該漏洞存在,建議您仔細檢查其發現。 |
| 漏洞 | 漏洞是您的網站或Web應用程序中的一個安全漏洞,它為惡意黑客提供了開放途徑,使他們可以出于非法目進行訪問,獲取數據或利用漏洞。 |
| 問題 | 問題是檢測到的任何漏洞的名稱,類型,日期和其他詳細信息。 |
| 嚴重程度 | 根據漏洞可能造成的損害以及需要修復的緊急程度,為每個漏洞分配了不同的嚴重性或威脅級別。 |
| 掃描政策 | Netsparker允許您使用掃描策略,以便根據需要確定并指定掃描的類型,范圍和目標。 |
| 計劃掃描 | 掃描可以立即啟動,也可以安排在最適合您的時間安排掃描,包括定期進行。 |
| 整合方式 | Netsparker可以與其他安全掃描工具一起使用以及導入或導出信息。 |
基于證明的Scanning?技術的好處
以下是自動化掃描后過程的一些關鍵優勢:
- 您不必手動驗證檢測到的掃描儀漏洞,從而節省了可用于修復它們的時間
- 您不必具有經驗豐富的安全專業人員即可使用Netsparker安全掃描器,因為會自動為您確認結果(無需知道如何重現結果)。
- 在Web應用程序中查找漏洞的過程將減少您的花費,因為您可以將其分配給較少的技術人員。
- 如果您是質量檢查人員,則開發人員不會將您退回以證明他們的代碼中存在漏洞
- 作為開發人員或服務提供商,您無需說服上級或客戶解決他們的問題,只需向他們證明即可!
Netsparker Enterprise和Netsparker Standard之間有什么區別?
Netsparker Enterprise是一個可擴展的多用戶Web應用程序安全解決方案,而Netsparker Standard是一個本地桌面Web漏洞掃描程序。
Netsparker的標準版是為進行滲透測試并通常掃描不到五十個網站的人員而構建的。
Netsparker Enterprise是一個多用戶平臺,旨在幫助企業管理數千個網站的長期安全性。它的內置工具還可以幫助自動執行大多數事后掃描任務,例如問題管理,使團隊可以高效,精確地進行協作。
Netsparker爬行和掃描技術
Netsparker擁有行業領先的掃描技術。兩種版本均基于相同的爬網和基于證明的掃描技術構建。因此,就Web應用程序覆蓋范圍,漏洞檢測和安全漏洞而言,您將獲得相同的結果。
服務的可擴展性
可伸縮性是兩個版本之間的主要區別。Netsparker Standard的資源僅限于運行它的硬件規格。它旨在一次掃描一個或多個應用程序。如果需要同時掃描多個網站,則可以手動啟動標準掃描儀的多個實例。Netsparker Enterprise的優勢在于,由于它是托管的Web漏洞掃描程序,因此由于Amazon的Cloud(AWS)基礎架構,其資源實際上是無限的。
功能亮點:網站組
借助Netsparker Enterprise,您只需單擊一下即可對網站進行分組,配置常規掃描設置以及啟動或計劃Web安全掃描。
緊跟最新的Web安全威脅
實際上,我們的漏洞檢查列表每天都在增長。釋放頻繁更新可確保您可以針對最新的安全威脅和漏洞掃描Web應用程序。發布新的安全檢查的響應時間也很關鍵,特別是在發現并廣泛使用Apache Struts之類的漏洞時。
- Netsparker Standard每次啟動時都會檢查更新。您可以在幾分鐘內應用更新。
- Netsparker Enterprise免維護。我們更新服務,并且更新是自動可用的。
Web安全掃描器的適應性
通常,桌面軟件比在線服務更具可配置性。原因是因為在線服務是圍繞旨在滿足更多客戶的引擎而構建的。因此,它具有較少的可配置參數,從而導致許多限制。
但是,Netsparker并非如此。Netsparker Standard中可以配置的任何內容也可以在Netsparker Enterprise中進行配置,例如URL重寫規則和其他爬網選項,HTTP連接屬性和其他掃描策略設置。
團隊合作
- Netsparker Standard是一個桌面應用程序,專為有權訪問安裝了該計算機的計算機的單個用戶而設計。
- Netsparker Enterprise是一個多用戶環境。每個團隊成員在Netsparker Enterprise版本中都有自己的用戶帳戶,并具有適當的特權可以啟動Web應用程序安全掃描,查看報告和問題。作為管理員,您可以為每個用戶配置不同的特權。
功能亮點:漏洞管理和任務
就像專用的錯誤跟蹤系統一樣,Netsparker Enterprise使您能夠將已識別的漏洞作為任務分配給團隊成員進行補救。當您跟蹤許多Web應用程序的安全性時,這是一項基本功能。
標記為固定(未確認)的任務將自動重新掃描。根據結果,它們可以關閉,也可以重新打開并重新分配。
漏洞管理系統旨在確保每個用戶都知道他們需要做什么,并確保自動檢查結果和修補程序。您還可以集成現有的錯誤跟蹤解決方案。
SDLC中的Web應用程序安全掃描
標準版和企業版都可以輕松集成到SDLC和持續集成過程中。
- Netsparker Standard具有命令行支持,使您可以輕松編寫可被其他應用程序觸發以啟動自動掃描的腳本。
- Netsparker Enterprise擁有廣泛且文檔齊全的API,可用于觸發Netsparker Enterprise儀表板中可用的任何類型的操作。
確保Web應用程序的安全
啟動單個Web應用程序安全性掃描并補救已發現的漏洞可能非常困難。要求經常掃描所有Web應用程序,并確保已修復檢測到的漏洞,并且所應用的修復程序不會打開新的安全漏洞,這甚至要求更高。
如果使用Netsparker Standard,則可以在同一網站上比較不同的掃描結果。我們的重新測試和增量掃描使您可以查明掃描之間的差異,并跟蹤所有問題。比較結果很容易,但是如果您有很多網站,則很費時間。
這就是Netsparker Enterprise的亮點。每次掃描網站或Web應用程序時,它的趨勢和相關報告都會自動更新。這消除了手動比較結果的需要。
手動爬網和安全掃描
如果您需要手動抓取網站或網站的一部分,則需要通過掃描器代理流量,以便掃描器可以捕獲流量,識別攻擊面并對其進行掃描。Netsparker Standard可用于手動爬網。
使用Netsparker Enterprise,您將無法使用它,因為它是基于云的產品。我確定您了解為什么無法使用此類服務進行手動瀏覽的含義。一方面是這樣的功能很容易被攻擊者濫用。擁有允許所有用戶使用屬于您的Web服務的IP地址與網站進行交互的開放代理絕不是一個好主意。另一個原因是隱私。盡管我們確保不存儲敏感的用戶數據(例如服務器上的瀏覽歷史記錄),但我們了解到,在Netsparker Enterprise產品上具有手動爬網功能會創建不必要的私有數據量,我們一直在努力避免這種情況。然而,您仍然可以通過將瀏覽器配置為通過本地代理(例如Fiddler)代理流量并捕獲流量來達到相同的結果。捕獲流量后,您可以將Fiddler捕獲導入Netsparker Enterprise并啟動掃描。這與Netsparker Standard既不一樣,也不互動,但是當需要手動輸入請求時,它將完成工作。
企業或標準Web應用程序安全掃描程序?
- 如果您的團隊規模較小,網站數量較少,并且希望自己動手操作,則Netsparker Standard是最佳選擇。
- 如果您在一個大型團隊中工作并且擁有許多要保護的網站和Web應用程序,并且需要支持工具來確保團隊成員之間的協作,那么建議使用Netsparker Enterprise。
推薦文章: