<

• 
• 
• 
• 

>

產(chǎn)品報價： 面議

留言咨詢

產(chǎn)品熱度：加載中

產(chǎn)品型號：無

適用范圍：全階段

所在地區(qū)：

　　產(chǎn)品概述

　　應(yīng)用程序在發(fā)布之前以及之后在每次更新升級時，都應(yīng)針對安全漏洞進行適當?shù)臏y試。安全性測試人員固然可以人工完成測試，但明顯存在測試效率和測試充分性的問題，復(fù)雜程序的人工測試需要花費大量時間，而且即使花費了這么多時間也有可能因為程序的復(fù)雜性而遺漏了安全漏洞。而且每一次重要的代碼更新因為可能引入新的安全漏洞，所以也應(yīng)該測試。

　　的解決方案是使用安全測試工具自動化整個應(yīng)用的安全測試過程。

　　DefenseCode提供了ThunderScan 和Web Security Scanner兩種產(chǎn)品部署，分別支持SAST和DAST應(yīng)用程序安全檢測。

　　功能特性

　　DefenseCode ThunderScan

　　DefenseCode ThunderScan 是靜態(tài)源代碼安全分析工具，在源代碼層次上檢查應(yīng)用程序的安全漏洞。使用它可以在應(yīng)用程序的開發(fā)期間和開發(fā)之后盡快查找漏洞。ThunderScan 源代碼安全分析器能夠找出深藏在源代碼內(nèi)部的漏洞，檢測到哪怕是非常細微的后門。

　　●分析速度快

　　自動化的源代碼安全分析工具的分析速度非?？?，DefenseCode ThunderScan 能夠在兩分鐘內(nèi)分析50,000行代碼。

　　●使用簡單

　　DefenseCode ThunderScan 的使用極其簡單，開發(fā)人員用它在代碼成為終產(chǎn)品之前定位安全漏洞，安全分析員用它分析第三方源代碼是否存在安全漏洞。

　　ThunderScan本身支持內(nèi)部安裝（支持CI/CD）或云端部署。ThunderScan 可用作Windows桌面程序、基于服務(wù)器的REST API，或者面向Web的應(yīng)用，用戶直接從網(wǎng)頁瀏覽器中使用。

　　●支持的語言/平

　　●漏洞覆蓋

　　DefenseCode ThunderScan 能夠發(fā)現(xiàn)潛藏在應(yīng)用程序中的所有種類的安全漏洞。比如，危險的SQL注入損害數(shù)據(jù)庫，各種代碼注入造成Web應(yīng)用和系統(tǒng)的接管，跨站腳本漏洞可被用來攻擊應(yīng)用程序的用戶和會話劫持，弱加密會泄露你的密碼給正在窺視的眼睛，還有其它許多。所有OWASP TOP 10漏洞和其它50多類漏洞都可以得到檢測。

　　ThunderScan包含有3000多個漏洞檢測規(guī)則，也提供定制化功能允許用戶向掃描引擎添加自己的規(guī)則。

　　分析精確，誤報少

　　ThunderScan 產(chǎn)品已經(jīng)進行了官方的OWASP Benchmark的測試。ThunderScan在十幾個參與測試的SAST工具中獲得了的綜合評分。

　　●部署靈活

　　ThunderScan能部署為桌面GUI解決方案，部署為強大的REST API接口供Windows、Linux和MacOS端的命令行客戶端訪問，也能部署為從瀏覽器訪問的Web應(yīng)用。

　　DefenseCode Web Security Scanner

　　DefenseCodeWebSecurityScanner 是

　　，能夠?qū)\行中的Web應(yīng)用和網(wǎng)站執(zhí)行安全掃描?，F(xiàn)如今Web應(yīng)用已經(jīng)非常普遍，日常幾乎所有事情都是面向Web的，使得Web應(yīng)用的安全測試極為重要。如果黑客要探尋你的Web應(yīng)用，他們通常會嘗試操作Web應(yīng)用的每一個方向，觀察它是如何運行的，以及在其惡意的嘗試中是否有不尋常的或值得注意的事情。

　　●功能

　　WebSecurityScanner模仿黑客滲透網(wǎng)站或網(wǎng)絡(luò)應(yīng)用的所有行為。WebScanner首先爬行你的網(wǎng)站（就像網(wǎng)絡(luò)搜索引擎那樣），創(chuàng)建一個關(guān)于網(wǎng)站結(jié)構(gòu)的數(shù)據(jù)庫。然后使用此結(jié)構(gòu)找出不被信任的用戶輸入進入網(wǎng)絡(luò)應(yīng)用的數(shù)據(jù)入口點。用安全性測試數(shù)據(jù)嘗試探索每一個數(shù)據(jù)入口點，這些安全性測試數(shù)據(jù)是能夠引起網(wǎng)絡(luò)應(yīng)用行為異常和安全漏洞而特意準備的。與這種方法一起的，還可以搜索數(shù)據(jù)溢出、可能包含重要數(shù)據(jù)的易猜測的文件名字、可能泄露敏感信息的網(wǎng)站錯誤，以及其它許多內(nèi)容。

　　●優(yōu)勢

　　WebSecurityScanner的目的很單純，就是盡可能地模仿黑客的工作。一個黑客可能要花費大量時間去探索每個數(shù)據(jù)輸入向量，而WebSecurityScanner是自動化的。而且速度很快，在幾個小時內(nèi)發(fā)送數(shù)百萬HTTP請求（取決于網(wǎng)站速度和網(wǎng)絡(luò)帶寬）。你可以把WebSecurityScanner設(shè)想為一個企圖從各個角度滲透網(wǎng)絡(luò)應(yīng)用或網(wǎng)站的黑客軍隊，只不過這個自動化的黑客軍隊是處于你的控制之中的。

　　●支持的技術(shù)

　　DefenseCodeWebSecurityScanner能掃描和分析任何面向HTTP的網(wǎng)絡(luò)應(yīng)用，支持HTTP、HTTPS、HTML、HTML 5、AJAX、Web2.0、jQuery等等。需要說明的是，網(wǎng)絡(luò)應(yīng)用的開發(fā)技術(shù)跟掃描是完全無關(guān)的，你可以用Cobol編寫應(yīng)用，WebSecurityScanner仍然可以分析定位安全缺陷。

　　●漏洞覆蓋

　　DefenseCodeWebSecurityScanner能夠找到所有OWASP TOP 10漏洞和50多個漏洞類型，以及5000多個CVE漏洞。范圍非常廣泛，包括SQL注入、跨站腳本、路徑遍歷、源代碼泄露、代碼注入等等。WebSecurityScanner在HTTP協(xié)議的多個組成部分上掃描這些漏洞，比如GET、POST、HEADERS、COOKIES、JSON數(shù)據(jù)、XML數(shù)據(jù)和URL路徑。