Acunetix

Acunetix Web Vulnerability Scanner es una herramienta automatizada de seguridad para aplicaciones Web

Acunetix WVS es capaz de escanear cualquier sitio Web o aplicación Web que sea accesible a través del protocolo HTTP / HTTPS. Sin embargo, no todas las pruebas se puede realizar de forma automática, y por lo tanto Acunetix WVS proporciona herramientas de Penetración manuales para pruebas particulares.

Acunetix es pionera en la aplicación web de tecnología de análisis de seguridad.

Hasta un 70% de los sitios web tienen vulnerabilidades que pueden conducir al robo de datos corporativos confidenciales, como información de tarjetas de crédito y listas de clientes.

Los hackers están concentrando sus esfuerzos en aplicaciones basadas en web como carritos de compra, formularios, páginas de acceso, contenido dinámico, etc. Accesibles 24/7 desde cualquier parte del mundo.

Las aplicaciones web inseguras facilitan el acceso a bases de datos e información corporativa que en manos de terceros puede convertirse en el principio de una catástrofe.

Acunetix ha sido pionera en la aplicación web de tecnologías de análisis de seguridad. Sus ingenieros se han centrado en la seguridad web desde 1997 y ha desarrollado una ingeniería líder en el análisis de sitios web y detección de vulnerabilidades.

Características

Acunetix Web Vulnerability Scanner incluye características innovadoras como:

Tecnología AcuSensor

Las herramientas de testeo de inyección SQL y de Cross site scripting más avanzadas y profundas de la industria.

Herramientas para fácil aseguramiento de formularios web y contraseñas.

Facilidad de generación de informes amplios, incluyendo informes de cumplimiento PCI.

Acunetix escanea y analiza sitios web incluyendo contenido flash, SOAP y AJAX.

Un cliente de analizador automático de secuencia de comandos que permite realizar pruebas de seguridad de Ajax y aplicaciones Web 2.0.

Herramientas avanzadas de penetración, como HTTP Editor y HTTP Fuzzer.

Soporte para páginas con CAPTCHA, single sign-on y mecanismos con factor de autenticación.

El escaneo inteligente detecta el tipo de servidor web y lenguaje de la aplicación.

Acunetix escanea y analiza sitios web incluyendo contenido flash, SOAP y AJAX.

¿Cómo funciona?

1. Crawling (rastreador)

El rastreador analiza la Website entera desde la URL inicial para descubrir todos los directorios y archivos. A continuación, revisará y analizará la estructura completa de directorios del sitio Web.

2. Escaneo de vulnerabilidades

Acunetix WVS lanzará una serie de ataques de vulnerabilidades en cada página. A continuación Acunetix lanzará pruebas en contra de los controles en cada página, similar a lo que los hackers podrían hacer para atacar a un sitio Web.

3. Resultados que se muestran en el nodo de Alertas

Todas las vulnerabilidades encontradas se mostrarán con información detallada en la interfaz gráfica del software en la zona de alerta (AlertsNode). Cada alerta contiene información acerca de la vulnerabilidad, ejemplos posibles para su solución, y CVE, CWE, e información CVSS.

4. El usuario puede crear Informes y tomar acción

Acunetix es capaz de exportar las vulnerabilidades encontradas en una variedad de informes diferentes. Y la comprobación o escaneo de alertas específicas permite fijar y probar las vulnerabilidades de forma individual en lugar de volver a ejecutar una exploración o escaneo completo.

Beneficios

Le permite ubicar y arreglar la vulnerabilidad rápidamente gracias a la habilidad de entregar más información sobre la vulnerabilidad, tal como el número de la línea de código fuente, query SQL afectado, etc.

Reduce significativamente los falsos positivos al escanear un sitio web porque podemos entender mejor el comportamiento interno de la aplicación web.

Puede alertarlo de problemas de configuración de aplicación web que pueden hacerla vulnerable o exponer detalles internos de la aplicación. Por ej.: Si se permiten ‘errores del cliente’ .NET, esto podría exponer detalles de la aplicación a un usuario malicioso.

Detectar muchas vulnerabilidades de inyección de SQL. Antes, las vulnerabilidades de inyección de SQL solo podían encontrarse si se reportaban errores de la base de datos o vía otras técnicas comunes.

Habilidad para probar vulnerabilidades de creación y borrado arbitrario de archivos. Por ej.: a través de un script vulnerable un usuario malicioso puede crear un archivo en el directorio de la aplicación web y ejecutarlo para tener permisos de acceso o borrar archivos sensibles de la aplicación web.

Habilidad para probar inyección de email. Por ej.: Un usuario malicioso puede agregar información adicional tal como una lista de destinatarios o información adicional al mensaje a un formulario web vulnerable, para enviar anónimamente spam a un gran número de destinatarios.

Habilidad para detectar vulnerabilidades de inyección SQL en todos los comandos SQL, incluyendo comandos SQL INSERT. Con un escáner de caja negra no se pueden encontrar las vulnerabilidades de inyección SQL.

Habilidad para conocer todos los archivos presentes y accesibles vía el servidor web. Si un atacante tiene acceso al sitio web y crea un archivo puerta trasera en el directorio de la aplicación, se encontrará y se escaneará el archivo al usar la tecnología AcuSensor y usted será alertado.

La Tecnología AcuSensor es capaz de interceptar todos los inputs de la aplicación web y construir una lista completa de todos los posibles inputs en el sitio web y probarlos.

No se necesita escribir reglas de reescritura de URL al escanear aplicaciones web que usan URLs amigables con el motor de búsqueda. Usando Tecnología AcuSensor el escáner es capaz de reescribir URLs SEO, en vuelo.