Web网站安全评估是用于检测Web网站漏洞的安全服务。可以准确、全面扫描Web网站程序中存在的漏洞,避免漏洞被黑客利用影响网站安全;与传统或开源的漏洞扫描产品相 比具有抓取数据更全面、误报率更低、漏洞库更新及时且不影响业务等优势。Web 漏洞扫描是用于监测网站漏洞的安全服务,为企业提供 7*24 小时准确、全面的漏洞 监测服务,并为企业提供专业的修复建议, 从而避免漏洞被黑客利用,影响网站安全。
产品能够提供专业且满足等级保护要求的报告。客户准备进行网站信息系统安全等级保护定级和测评。
无需安装任何硬件或软件,无需改变目前的网络部署状况。按需付费,节省在安全设备方面的成本。
支持各类编程语言如PHP、ASP、JAVA等Web服务端,支持多种认证方式、支持代理扫描,HTTPS扫描。
在网站运维过程中网站的业务健康性是至关重要的,因此WEB漏洞扫描服务采用了无损的漏洞扫描技术,以避免对网站业务的健康性造成影响。服务能够全方位检测服务器存在 的脆弱性,发现系统存在的安全漏洞、安全配置问题、应用系统安全漏洞,检查系统存在的弱口令,收集系统不必要开放的账号、服务、端口,形成整体安全风险报告,帮助安 全管理人员先于攻击者发现安全问题,及时进行修补。
SQL注入攻击漏洞(支持基于GET/POST等方式提交的数据检测),失效的身份认证(过期会话产生的安全隐患),敏感信息泄露(包括但不限于服务器信息,邮箱,银行卡,身份证 等敏感信息),失效的访问控制(身份认证和会话管理相关的应用程序功能错误实现,导致的安全隐患),安全配置错误(包括但不限于服务器网站配置错误,导致的安全隐患),跨 站脚本XSS(支持GET、 POST方式的跨站攻击漏洞),不安全反序列化漏洞,使用含有已知漏洞的组件(持续更新主流的WEB应用及组件漏洞规则),目录遍历及CSRF漏洞(有可能存 在CSRF跨域及文件目录遍历的漏洞)
漏洞扫描报告满足等级保护的要求,报告中包括系统存在的安全漏洞、安全配置问题、应用系统安全漏洞,系统存在的弱口令,不必要开放的账号、服务、端口等,及修复建议,引 导并帮助用户修补漏洞。采用旁路部署, 部署方式灵活简单、安全,不会对客户业务连续性造成任何影响。 并且运用智能页面爬取、资源动态调节、代理缓存机制和实时任务调度 等技术,实现了对大规模网站的快速、稳定的扫描。
区别于传统的漏洞扫描器,采用完全自主研发的核心扫描引擎技术,基于安全大数据和威胁情报对客户资产进行全方位的深度安全扫描评估测试,保障业务和应用安全。
资深安全专家团队曾就职于微软、绿盟等企业,拥有前沿安全测试技术和独立研发的安全测试工具,对扫描结果进行测试复核和验证,并编写详细的漏洞修复建议。
检测报告交付前历经安全专家组复核、项目组自查、互查、质量审核人员复查四重审查流程,严格保证扫描测试报告的质量管控,为客户提供真正高质量的安全报告。