Netsparker是一个自动化但完全可配置的Web应用程序安全扫描程序,使您可以扫描网站,Web应用程序和Web服务并识别安全漏洞。Netsparker可以扫描所有类型的Web应用程序,而与构建它们的平台或语言无关。允许通过基于证明的扫描生成准确的报告,具有先进的爬行和扫描技术,以及实用漏洞详细信息,能够通过多用户解决方案促进团队协作,此外,还具有自动化漏洞分类和管理、将Netsparker集成到安全的SDLC和DevOps中、先进的网络渗透测试工具、专业的安全和合规报告等多个方面的优势!Netsparker是唯一的在线Web应用程序安全扫描程序,可以自动以只读和安全的方式利用已发现的漏洞来确认已发现的问题。它还提供了该漏洞的证明,因此您无需浪费时间手动进行验证。例如,在检测到SQL注入漏洞的情况下,它将显示数据库名称作为利用证明。Netsparker是易于使用但先进的Web安全解决方案,可以在几个小时内轻松扩展并自动查找成百上千个Web应用程序和Web服务中的漏洞。它也可以轻松集成到您的安全SDLC中。
安装说明
1、下载并解压,开始安装,勾选接受协议
2、安装完成,运行即可
软件特色
1、旨在保护您的企业的扫描仪
Netsparker Standard适用于中小企业。您可以保护商业和开源Web产品,第三方创建的网站以及定制的Web应用程序。如果您有多个基于流行内容管理系统的网站,则可以基于第三方解决方案运行在线商店,或者构建自己的应用程序-Netsparker将为您提供保护。
Netsparker可以独立于用于构建和执行网站的技术来分析网站和Web应用程序。如果它在网络上,Netsparker可以对其进行扫描:您当前的网络资产以及将来的任何网络资产。
Netsparker不需要您具有广泛的IT安全知识。该应用程序易于使用,并解释了导致漏洞的错误,因此您可以轻松消除它们。
Netsparker可帮助您做出正确的选择。您可以查明关键问题并找出潜在的后果。通过使用管理的常规报告和IT人员的详细报告,您可以比攻击者领先一步。
2、保护您的Web应用程序免受最新漏洞的侵害
与网络钓鱼和社交工程一样,网络漏洞也是造成安全漏洞的最常见原因。如果您没有受到保护,攻击者可能会访问您的宝贵数据或客户数据。它们也可能危害您的声誉。更糟糕的是,网络漏洞是非常具体的,没有其他工具可以保护您的企业免受这些漏洞的侵害。
网络安全问题越来越普遍。Web技术不仅用于台式机,还用于移动应用程序和物联网。全球范围内有越来越多的攻击,并且您成为目标的风险会随着时间而增长。
防病毒,反恶意软件解决方案,防火墙,网络扫描仪和入侵检测系统都无法抵抗Web漏洞。源代码扫描程序无法保护第三方应用程序和库。Web应用程序防火墙只是临时的创可贴。
渗透测试有效但昂贵,您不能每天执行一次。它们通常是由第三方完成的,您可以在开始手动渗透测试之前消除漏洞,从而更具成本效益。
3、“毫不妥协”的Web扫描仪–最大检测率,最小误报率
市场上几乎没有Web漏洞扫描程序,并且Netsparker引擎是领先者之一,它将先进的技术与出色的用户界面相结合。使用Netsparker,即使没有专门的安全团队也可以轻松保护Web资产。
Netsparker已被确定为最有效的 Web漏洞扫描程序之一。在测试过程中,由于其专有的Proof-Based-Scanning™技术,它发现了所有漏洞并且没有报告误报。有了Netsparker,您将获得最好的。
Netsparker以出色的可伸缩性而闻名。随着您业务的增长,Netsparker将跟上步伐。由于几乎为零的误报,您不必担心IT人员会寻找不存在的问题。
Netsparker由热情的安全爱好者创建,他们定期发现并报告新的漏洞。我们还为您提供世界一流的支持。如果您在环境中使用Netsparker遇到问题,我们将为您提供帮助。
软件功能
1、消除误报的不确定性
通过消除误报带来的猜测和不确定性,重新获得对Web安全程序的控制。借助Netsparker的基于证明的Scanning™技术和自动验证,您将始终知道哪些结果是切实可行的问题,而且绝对不是误报。体验集成和自动化的全部好处–发送通知并自动为开发人员分配漏洞,并实时修补Web应用程序防火墙以维护安全性。
2、保护您的所有网络技术
使用Netsparker的高级扫描引擎甚至可以识别最复杂的漏洞,包括SQL注入,跨站点脚本和其他OWASP十大漏洞。
使用扫描结果中提供的详细漏洞信息,以确保开发人员完全了解该漏洞,以便他们可以快速修复该漏洞并在将来编写更安全的代码。
使用Netsparker的丰富的集成工具集优化渗透测试,以帮助您的安全专业人员进行高级安全评估。
3、扩展您的网络安全程序,而不仅仅是扫描
保护您所有的网站,而不仅仅是最重要的网站。使用Netsparker的资产发现服务来查找所有需要扫描的网站,Web应用程序和Web服务。
扫描只是解决漏洞的第一步,因此,在扩展扫描范围时,其余过程必须保持同步。Netsparker可以消除误报问题并通过自动化和集成提高效率,从而帮助您扩展方法的每个步骤。
4、充满信心地自动化
将漏洞扫描和管理集成到您的工作流程中,以改善协作并获得有关漏洞的即时通知。
自动化漏洞分类和解决方案,而不会出现误报的不确定性,从而可以有效地处理数百甚至数千个Web应用程序,从而提高性能,响应时间和应用程序安全性。
将自动漏洞评估集成到您的SDLC,DevOps,登台和实时环境中,以确保所有Web应用程序和Web服务器在投入生产时均不受已知漏洞的影响。
当无法立即修复严重漏洞时,Web应用程序防火墙对于维护安全性至关重要。使用Netsparker的WAF集成功能自动阻止漏洞,直到有可用的修复程序为止。
5、获得完全的可见性和控制力
使用全局仪表板可以快速概览您的网站,应用程序和服务的当前安全状态,包括已启动的扫描,发现的漏洞以及等待修复的漏洞。查看趋势,统计信息和合规性报告,并使用我们的趋势矩阵来获取有关特定网站所有漏洞的详细信息。
探索您的Web应用程序中使用的所有技术和版本。我们的技术功能可查找并列出技术,检查过时的和易受攻击的版本,并跟踪更新历史记录,并支持报告和即时通知。
体验世界一流的支持-获得与集成和运营有关的帮助,请求自定义功能,并享受与可靠且响应迅速的业务合作伙伴合作所带来的控制力和安心。
使用帮助
1、准备和配置扫描
Netsparker是一个非常用户友好的自动化Web应用程序安全扫描程序。在大多数情况下,输入目标URL并开始扫描就足够了。扫描仪将自动对其进行微调。但是,即使Netsparker将成功发现问题,它也可能进行额外和不必要的安全检查,从而使目标主机不必要地忙碌,因为没有正确配置扫描。因此,您可以选择自己配置扫描设置。或者,您可以使用Netsparker Assistant。
Web应用程序安全性扫描的持续时间取决于各种因素。为了缩短持续时间,您可以通过配置某些设置来优化扫描。为了获得更准确的扫描结果,您应该进一步配置扫描。您可以配置以下选项:
搜寻选项
扫描范围
URL重写规则
网站认证
扫描政策
在扫描您的网站之前,目标主机必须已准备好进行测试。确保目标主机在扫描过程中保持联机状态。此外,您可以使用“暂停”和“停止”功能。为避免任何服务故障,您可以使用“ 扫描时间窗口”来设置Netsparker扫描目标URL的时间。
2、扫描您的Web应用程序
将您的Web应用程序视为您业务的不安全后门。现代的Web应用程序使用户可以与主机的网络或服务器进行交互。不良的编码和不良的强化策略可能会对Web应用程序的安全性产生负面影响。如果未使用相关安全标准开发Web应用程序,则可以通过利用漏洞和错误配置来对其进行操作。
Netsparker的先进的基于证明的扫描TM技术使在Web应用程序中轻松识别SQL注入,跨站点脚本(XSS)和数千个其他漏洞成为可能。Netsparker还可以检测过时的Web应用程序技术,以帮助您使Web应用程序保持最新。
VDB(漏洞数据库)每周更新一次。
在Netsparker Standard版中,还提供了内置的安全测试工具,例如HTTP Request Builder,ViewState Viewer和Encoding and Decoding Tools。它还具有报告生成器,该报告生成器允许用户导出扫描结果的详细信息。Netsparker可以轻松集成到SDLC,DevOps和其他环境中,以帮助确保Web应用程序的安全。
3、查看和比较扫描结果与先前的扫描
如果您具有Netsparker版本,则可能已经对Web应用程序进行了扫描。以前的扫描使您知道安全开发过程。请比较新旧扫描结果,并检查新发现的问题。
Netsparker允许您重新测试先前扫描中发现的问题。
您还可以为特定漏洞选择安全测试类型。
增量扫描可帮助您节省时间。您可以仅扫描自上次扫描以来添加的新页面,而不必扫描Web应用程序。
您可以将问题跟踪程序与Netsparker集成在一起,以帮助您管理和维护SDLC(软件开发生命周期)每个阶段的所有问题列表。
4、解决问题
攻击者使用不同的方法来入侵Web应用程序。每天都有可能再次发动攻击。计划和执行定期安全扫描至关重要。每次扫描都可能发现您的Web应用程序中的新漏洞。如果检测到漏洞,则需要尽快修复它们,然后使用Netsparker重新测试它们。此时,Netsparker将检查问题是否已正确解决。如果是这样,则将其标记为已解决。此过程需要连续进行,以便维护Web应用程序的安全性。
5、重新测试已解决的问题
安全扫描的主要目标是检测问题并解决问题。Netsparker使您可以重新测试问题,以检查问题是否已解决。无需开始全面扫描,您只能重新测试已解决的问题。
在Netsparker Standard中,您可以一次重新测试一个或多个问题。在Netsparker Enterprise中,您可以重新测试所有问题。Netsparker Enterprise自动检查该问题。如果已按预期解决,则该问题将标记为“已修复”。如果不是,则将问题分配回受让人。如果您确定问题是误报,则可以将其标记为误报。如果您知道问题的影响,也可以将其标记为“可接受的风险”。最后,您可以手动将问题标记为“已修复”(未确认)。
6、生成报告
报告是Web应用程序安全性扫描过程中最重要的步骤。Netsparker可以根据相关法规生成报告。如果您希望Web应用程序符合ISO 27001,请生成ISO 27001符合性报告以检查特定漏洞并采取正确的补救措施。
Netsparker Enterprise On-Demand还具有PCI合规性功能,使您可以自动化大多数过程并生成批准的PCI合规性报告。完成PCI扫描后,符合标准的网站将收到批准的合规性报告。如果网站失败,则可以修复列出的漏洞并重新测试。
Netsparker还使您能够创建自定义报告(请参阅“ 自定义报告策略”)。这意味着您可以更改漏洞详细信息,分类编号,采取的措施或添加组织徽标
