Bao phủ công nghệ:
Chúng ta đã đề cập rang Acunetix là một máy quét hộp đen, và đo đó , miễn là một trang web có thể truy cập qua giao thức HTTP hoặc HTTPS nó có thể được quét, tuy nhiên máy quet rất là thông minh khi nói đến lỗ hổng fishing out, là đặc thù của các framworks nhất định và các công nghệ tự PHP,.NET, Ruby trên Rails và một vài framework java phổ biến , tất cả các cách để CMS cũng như wordpress và plugins của nó.
Acunetix WVS có thể xác định và kiểm tra trang web dựa vào công nghệ stack của một trang web đang chạy
DeepScan Engine để xử lý Ajax và java script
Thêm vào đó, Acunetix Web Vulnerability Scanner hỗ trợ đầy đủ cho HTML5 và có thể phát hiện DOM dựa trên XSS với một mức độ chính xác cao. Đây là nhờ vào cuộc cách mạng DeepScan engine. Một trình duyệt không hoàn toàn làm việc đầy đủ được tích hợp chặt chẽ với các trình thu thập cái mà cung cấp Acunetix WVS với một sự hiểu biết đầy đủ về những gì đang xảy ra trong một trang web, cũng như khả năng thực hiện và tương tác với javascript ngày càng phổ biến và các ứng dụng nặng AJAX đang bắt đầu xuât hiện khắp nơi trên trang web
Để làm rõ rang hơn cho các nhà phát triển ứng dụng web để theo dõi lỗ hổng DOM dựa trên XSS, Acunetix WVS cũng sẽ cung cấp cho người dung một stack trace cách mà XSS chảy qua trình duyệt DOM

AcuSensor cho quét chính xác và toàn diện

Như chúng ta đã thấy, AcuSensor là một thành phần tùy chọn (bao gồm với Acunetix WVS) được cài đặt trên phía server và có sẵn cho cả các ứng dụng PHP và .NET. Việc sử dụng các AcuSensor cung cấp những cái được biết đến như là kiểm tra bảo mật ứng dụng tương tác (IAST).

Việc cài đặt cho cả PHP và .NET là liền một mạch, và với NET, không có cần phải lập lại các file DLL – bạn chỉ có thể đưa vào và không đưa vào AcuSensor từ bên trong file DLL biên dịch sẵn .NET.

Hầu hết máy quét hộp đen ứng dụng web (bao gồm Acunetix WVS mà không có AcuSensor) không thể xem được cái cách mà mã vận hành trong khi nó đang được thực thi. Ở đầu kia của quang phổ, công cụ phân tích mã nguồn không thể luôn luôn hiểu những gì xảy ra trong sự thực thi mã.

Acunetix AcuSensor mang đến cả phương pháp thử nghiệm với nhau và kết quả là có thể cung cấp một máy quét chính xác và toàn diện hơn. Kể từ khi các cảm biến có kiến thức về các hệ thống backend, nó cũng có thể tìm thấy lỗ hổng trong các khu vực khó khăn để tiếp cận với một máy quét hộp đen điển hình. Ví dụ, các lỗ hổng SQL injection thường hoặc là tìm thấy thông qua các thông tin bị rò rỉ hoặc thông qua các lỗi cơ sở dữ liệu, hoặc thông qua các kỹ thuật blind injection. AcuSensor có thể tìm thấy tiêm lỗ hổng SQL trong bất kỳ truy vấn SQL; bao gồm câu lệnh INSERT.

Như chúng ta đã thấy, Acunetix AcuSensor có thể chỉ ra dòng code có khả năng bị tổn thương và thậm chí có thể báo cáo các thông tin gỡ lỗi bổ sung. Điều này làm tăng đáng kể hiệu quả cho đội ngũ phát triển giải quyết các lỗi bảo mật quan trọng.

AcuMonitor

AcuMonitor là một công nghệ set-it và forget-it nó được included như là một phần của Acunetix WVS. Nó phục vụ như một dịch vụ trung gian mà làm việc trong background và cho phép các máy quét phát hiện lỗ hổng cấp 2

Việc quét lỗ hổng cấp 2, các tài khoản cho các lỗ hổng cái mà không cung cấp một response tới một máy quét trong suốt quá trình kiểm thử. Như các lỗ hổng Blind XSS (còn gọi là làm trễ XSS), XML External Entity Injection (XXE), Server Side Request Forgery (SSRF), tấn công Host Header, Email Header Injection, Password Reset Poisoning, Blind Out-of-Band SQL Injection và Blind Out-of-band Code Execution; tất cả đều có thể phát hiện một cách tự động bằng việc sử dụng AcuMonitor.

Để phát hiện lỗ hổng cấp 2,một trung gian cái mà điều khiển máy quét, hoặc có thể truy cập, cần phải tồn tại. Acunetix WVS, kết hợp với AcuMonitor, làm cho tự động phát hiện các lỗ hổng minh bạch để người sử dụng chạy quét.

Download Acunetix web vulnerability scanner:
Acunetix có sẵn trực tuyến hoặc tại chỗ. Acunetix cung cấp thử nghiệm 14 ngày của Acunetix WVS, và họ cũng cung cấp một màn biểu diễn trực tuyến của máy quét được gọi là Acunetix OVS, mà bạn cũng có thể thử cho 14 ngày. Cách duy nhất thực sự để có được để hiểu thấu với bất kỳ sản phẩm là dùng thử nó cho chính mình.

Kết luận:
Ngoài tất cả những cái trên, Acunetix Web Vulnerability Scanner cũng đi kèm với một loạt các công cụ thử nghiệm thâm nhập tích hợp bằng tay Những công cụ này cho phép các auditor chạy quét tự động và kiểm tra kết quả bằng tay mà không cần phải chuyển đổi các công cụ

Acunetix WVS cung cấp cho các chuyên gia an ninh và kỹ sư phần mềm cũng như một loạt các tính năng tuyệt vời trong một gói đơn giản, liền một mạch và rất mạnh mẽ. Tất nhiên đánh giá này có thể rất nhiều, và trong khi hướng dẫn này nhằm cung cấp một cái nhìn tổng quan về sản phẩm, có một số tính năng hữu ích khác mà không được nói đến.

Techtalk via viblo