Acunetix Web Vulnerability Scanner Nedir?

Acunetix Web Güvenlik Açığı Tarayıcısı (WVS), istismar edilebilir bilgisayar korsanlığı güvenlik açıklarını kontrol ederek web uygulamalarınızı denetleyen otomatik bir web uygulaması güvenlik test aracıdır .

Acunetix Web Güvenlik Açığı Tarayıcısı ile web sitenizin güvenliğini denetleyin

Web sitelerinin yaklaşık %70’inde, kredi kartı bilgileri ve müşteri listeleri gibi hassas kurumsal verilerin çalınmasına yol açabilecek güvenlik açıkları bulunmaktadır.

Bilgisayar korsanları, çabalarını alışveriş sepetleri, formlar, oturum açma sayfaları, dinamik içerik vb.

Güvenlik duvarları, SSL ve kilitli sunucular, web uygulaması korsanlığına karşı beyhudedir!

80/443 numaralı bağlantı noktasında başlatılan web uygulaması saldırıları, doğrudan güvenlik duvarını aşıp işletim sistemi ve ağ düzeyindeki güvenliği geçerek uygulamanızın ve kurumsal verilerinizin kalbine kadar ulaşır. Kişiye özel web uygulamaları genellikle yeterince test edilmez, keşfedilmemiş güvenlik açıklarına sahiptir ve bu nedenle bilgisayar korsanları için kolay bir avdır.

Bilgisayar korsanları hassas verileri indirmeden, web sitenizi fırlatma rampası olarak kullanarak suç işlemeden ve işinizi tehlikeye atmadan önce web sitenizin güvenli olup olmadığını öğrenin. Acunetix Web Güvenlik Açığı Tarayıcısı web sitenizi tarar, web uygulamalarınızı otomatik olarak analiz eder ve çevrimiçi işinizi ifşa eden tehlikeli SQL enjeksiyonu, Siteler arası komut dosyası çalıştırma ve diğer güvenlik açıklarını bulur. Özlü raporlar, web uygulamalarının nerede düzeltilmesi gerektiğini belirler, böylece işletmenizi yaklaşan bilgisayar korsanı saldırılarından korumanıza olanak tanır!

Acunetix – web uygulama güvenliğinde dünya lideri

Acunetix, web uygulaması güvenlik tarama teknolojisine öncülük etmiştir: Mühendisleri, 1997 gibi erken bir tarihte web güvenliğine odaklanmış ve web sitesi analizi ve güvenlik açığı tespitinde bir mühendislik lideri geliştirmiştir.

Acunetix Web Güvenlik Açığı Tarayıcısı birçok yenilikçi özellik içerir:

• AcuSensor Teknolojisi
• Ajax ve Web 2.0 uygulamalarının güvenlik testine izin veren otomatik bir istemci komut dosyası çözümleyicisi
• Sektörlerin en gelişmiş ve derinlemesine SQL enjeksiyonu ve Siteler arası komut dosyası çalıştırma testi
• HTTP Düzenleyici ve HTTP Fuzzer gibi gelişmiş penetrasyon testi araçları
• Görsel makro kaydedici, web formlarının ve parola korumalı alanların test edilmesini kolaylaştırır
• CAPTHCA, çoklu oturum açma ve İki Faktörlü kimlik doğrulama mekanizmalarına sahip sayfalar için destek
• VISA PCI uyumluluk raporları dahil olmak üzere kapsamlı raporlama olanakları
• Çok iş parçacıklı ve ışık hızında tarayıcı yüz binlerce sayfayı kolaylıkla tarar
• Akıllı tarayıcı, web sunucusu türünü ve uygulama dilini algılar
• Acunetix flash içeriği, SOAP ve AJAX dahil olmak üzere web sitelerini tarar ve analiz eder
• Bağlantı noktası bir web sunucusunu tarar ve sunucuda çalışan ağ hizmetlerine karşı güvenlik kontrolleri gerçekleştirir

Acunetix Web Güvenlik Açığı Tarayıcısı Tüm özellikler:

Yenilikçi AcuSensor Teknolojisi ile SQL Enjeksiyonu, Siteler Arası Komut Dosyası Çalıştırma (XSS) ve Diğer Güvenlik Açıkları için derinlemesine kontrol

Acunetix, SQL enjeksiyonu, Siteler arası komut dosyası çalıştırma ve diğerleri dahil olmak üzere tüm web güvenlik açıklarını kontrol eder. SQL enjeksiyonu, veritabanındaki verilere erişmek için SQL komutlarını değiştiren bir bilgisayar korsanlığı tekniğidir. Siteler arası komut dosyası çalıştırma saldırıları, bir bilgisayar korsanının ziyaretçinizin tarayıcısında kötü amaçlı bir komut dosyası yürütmesine olanak tanır.

Bu güvenlik açıklarının tespiti, gelişmiş bir tespit motoru gerektirir. Web güvenlik açığı taraması için en önemli şey, bir tarayıcının algılayabildiği saldırıların sayısı değildir, ancak tarayıcının SQL enjeksiyonunu, Siteler Arası komut dosyası çalıştırmayı ve diğer saldırıları başlatmasının karmaşıklığı ve eksiksizliğidir. Acunetix, güvenlik açıklarını düşük sayıda yanlış pozitifle hızlı bir şekilde bulan son teknoloji bir güvenlik açığı tespit motoruna sahiptir. Ayrıca CRLF enjeksiyonu, Kod yürütme, Dizin Geçişi, Dosya dahil etme, Dosya Yükleme formlarındaki güvenlik açıklarını kontrol etme ve çok daha fazlasını bulur.

Port Tarayıcı ve Ağ Uyarıları

Web sitesini tararken, web sunucusunu açık bağlantı noktaları için de tarayın ve açık bağlantı noktalarında çalışan ağ hizmetlerine karşı DNS önbellek zehirlenmesi ve yineleme testleri, SNMP zayıf topluluk dizeleri, zayıf SSH şifreleri ve diğer birçok ağ hizmeti testi gibi ağ uyarı kontrolleri yapın. Ağ uyarıları kontrolleri komut dosyasıyla yazılabilir, böylece bunları değiştirebilir veya yenilerini kendiniz yazabilirsiniz.

Gelişmiş penetrasyon testi araçları dahildir

Acunetix, otomatikleştirilmiş tarama motoruna ek olarak, penetrasyon test uzmanlarının web uygulaması güvenlik kontrollerinde ince ayar yapmasına olanak tanıyan gelişmiş araçlar içerir:

• HTTP Düzenleyici – Bu araçla kolayca HTTP/HTTPS istekleri oluşturabilir ve web sunucusu yanıtını analiz edebilirsiniz.
• HTTP Sniffer – Tüm HTTP/HTTPS trafiğini yakalayın, günlüğe kaydedin ve değiştirin ve bir web uygulaması tarafından gönderilen tüm verileri ortaya çıkarın
• HTTP Fuzzer – Arabellek taşmaları ve giriş doğrulaması için gelişmiş testler gerçekleştirir. HTTP fuzzer’ın kullanımı kolay kural oluşturucusu ile binlerce giriş değişkenini test edin. Manuel olarak yapılması günler alacak testler artık dakikalar içinde yapılabilir.
• Blind SQL Injector – Sızma test cihazları için ideal olan Blind SQL Injector, SQL enjeksiyonları için daha fazla test yapılmasına olanak tanıyan manuel testler yapmak için mükemmel olan otomatik bir veritabanı veri çıkarma aracıdır.
• Web Güvenlik Açığı Düzenleyicisi ile özel saldırılar oluşturun veya mevcut olanları değiştirin

Güvenlik açıkları için AJAX ve Web 2.0 teknolojilerini tarayın

Son teknoloji CSA (istemci komut dosyası analizörü) Motoru, en son ve en karmaşık AJAX / Web 2.0 web uygulamalarını kapsamlı bir şekilde taramanıza ve güvenlik açıklarını bulmanıza olanak tanır.

Otomatik HTML form doldurucu ile şifre korumalı alanları ve web formlarını test edin

Acunetix Web Güvenlik Açığı Tarayıcısı, web formlarını otomatik olarak doldurabilir ve web oturumlarında kimlik doğrulaması yapabilir. Çoğu web güvenlik açığı tarayıcısı bunu yapamaz veya bu sayfaları test etmek için karmaşık komut dizileri gerektirir. Acunetix’te öyle değil: Makro kayıt aracını kullanarak bir oturum açma veya form doldurma işlemini kaydedebilir ve sırayı saklayabilirsiniz. Tarayıcı daha sonra tarama işlemi sırasında bu sırayı tekrar oynatabilir ve web formlarını otomatik olarak doldurabilir veya parola korumalı alanlarda oturum açabilir.

Sitenizi Google Hacking Veritabanına karşı analiz eder

Google Hacking Veritabanı (GHDB), bilgisayar korsanları tarafından web sitenizdeki portal oturum açma sayfaları, ağ güvenlik bilgilerini içeren günlükler vb. gibi hassas verileri tanımlamak için kullanılan bir sorgu veritabanıdır. Acunetix, web sitenizin taranan içeriği üzerinde Google korsan veritabanı sorgularını başlatır ve hassas verileri veya kötüye kullanılabilir hedefleri bir “arama motoru korsanından” önce belirler.

AcuSensor Teknolojisi – daha az yanlış pozitif ile daha fazla güvenlik açığı belirleyin:

Acunetix AcuSensor Teknolojisi, geleneksel bir kara kutu Web Uygulama Tarayıcısından daha fazla güvenlik açığı belirlemenize izin vererek ve daha az hatalı pozitif sonuç üreterek, kara kutu tarama tekniklerini kaynak kodu yürütülürken kaynak kodun içine yerleştirilmiş sensörlerden gelen geri bildirimle birleştirir.

AcuSensor Teknolojisinin avantajları çoktur . Bunlar şunları içerir: kaynak kodu satır numarası, yığın izleme ve etkilenen SQL sorgusu gibi her bir güvenlik açığı hakkında daha fazla bilgi sağlarken güvenlik açıklarının daha hızlı bulunması ve düzeltilmesi; ayrıca web.config veya php.ini dosyalarının yanlış yapılandırılması gibi web uygulaması yapılandırma sorunlarını da kontrol eder; web sunucusu hata mesajlarına bağlı olmadan daha birçok SQL enjeksiyon güvenlik açığını algılar; ve daha fazlası.

Doğru web uygulama tarayıcısını bulma; neden kara kutu taraması yeterli değil

Acunetix AcuSensor Teknolojisi, daha az yanlış pozitif üretirken, geleneksel bir Web Uygulama Tarayıcısından daha fazla güvenlik açığı belirlemenizi sağlayan yeni bir güvenlik teknolojisidir. Ek olarak, güvenlik açığının kodunuzdaki tam olarak nerede olduğunu gösterir ve hata ayıklama bilgilerini de raporlar.

Artırılmış doğruluk, kara kutu tarama tekniklerini, kaynak kodu yürütülürken kaynak kodun içine yerleştirilmiş sensörlerden gelen geri bildirimle birleştirerek elde edilir. Kara kutu taraması, uygulamanın nasıl tepki vereceğini bilmez ve kaynak kodu analizcileri, saldırıya uğradığında uygulamanın nasıl davranacağını anlamaz. Bu nedenle, bu teknikleri bir arada birleştirmek, bağımsız olarak kaynak kodu analizörleri ve kara kutu taraması kullanmaktan daha ilgili sonuçlara ulaşır.

AcuSensor Teknolojisi, .NET kaynak kodunu gerektirmez; önceden derlenmiş .NET uygulamalarına enjekte edilebilir! Bu nedenle, bir derleyici kurmaya veya web uygulamalarının kaynak kodunu almaya gerek yoktur; bu, üçüncü taraf bir .NET uygulaması kullanırken büyük bir avantajdır. PHP web uygulamaları söz konusu olduğunda, kaynak zaten mevcuttur.

Bugüne kadar Acunetix, bu teknolojiyi uygulayan lider ve tek Web Güvenlik Açığı Tarayıcısıdır.

Acunetix AcuSensor Teknolojisini kullanmanın avantajları

1. Kaynak kodu satır numarası, yığın izleme, etkilenen SQL sorgusu gibi güvenlik açığı hakkında daha fazla bilgi sağlama özelliği sayesinde güvenlik açığını daha hızlı bulmanızı ve düzeltmenizi sağlar.
2. Web uygulamasının davranışını dahili olarak daha iyi anlayabildiğimiz için bir web sitesini tararken yanlış pozitifleri önemli ölçüde azaltabiliriz.
3. Güvenlik açığı bulunan bir uygulamayla sonuçlanabilecek veya dahili uygulama ayrıntılarını açığa çıkarabilecek web uygulaması yapılandırma sorunları konusunda sizi uyarabilir. Örneğin, .NET’te ‘özel hatalar’ etkinleştirilirse, bu, hassas uygulama ayrıntılarını kötü niyetli bir kullanıcıya ifşa edebilir.
4. Daha birçok SQL enjeksiyon güvenlik açığını tespit edin. Daha önce SQL enjeksiyon güvenlik açıkları, yalnızca veritabanı hataları bildirildiğinde veya diğer yaygın teknikler aracılığıyla bulunabiliyordu.
5. SQL INSERT deyimleri dahil olmak üzere tüm SQL deyimlerindeki SQL Injection güvenlik açıklarını tespit etme yeteneği. Bir kara kutu tarayıcıyla, bu tür SQL enjeksiyon güvenlik açıkları bulunamaz.
6. Web sunucusu aracılığıyla mevcut ve erişilebilen tüm dosyalar hakkında bilgi sahibi olma. Bir saldırgan web sitesine erişir ve uygulama dizininde bir arka kapı dosyası oluşturursa, AcuSensor Teknolojisini kullanırken dosya bulunacak ve taranacak ve size uyarı verilecektir.
7. AcuSensor Teknolojisi, tüm web uygulama girdilerini yakalayabilir ve web sitesindeki olası tüm girdilerin kapsamlı bir listesini oluşturur ve bunları test eder.
8. Arama motoru dostu URL’ler kullanan web uygulamalarını tararken URL yeniden yazma kuralları yazmaya gerek yok! AcuSensor Teknolojisini kullanan tarayıcı, SEO URL’lerini anında yeniden yazabilir.
9. Rastgele dosya oluşturma ve silme güvenlik açıklarını test etme yeteneği. Örneğin, savunmasız bir komut dosyası aracılığıyla kötü niyetli bir kullanıcı, web uygulama dizininde bir dosya oluşturabilir ve ayrıcalıklı erişime sahip olmak için bu dosyayı çalıştırabilir veya hassas web uygulama dosyalarını silebilir.
10. E-posta enjeksiyonunu test etme yeteneği. Örneğin, kötü niyetli bir kullanıcı, çok sayıda alıcıyı anonim olarak spam yapmak için, bir liste veya alıcılar gibi ek bilgiler veya savunmasız bir web formunun mesaj gövdesine ek bilgiler ekleyebilir.

Nasıl çalışır

AcuSensor Teknolojisi kullanıldığında, web uygulaması yapılandırması ve web uygulama platformu (PHP ve .NET gibi) yapılandırması hakkında bilgi edinmek için web sunucusuyla iletişim kurar. Acunetix WVS tarayıcı tarafından tetiklendikten sonra sensör, web uygulama dizininde bulunan tüm dosyaların, hatta web sitesi üzerinden bağlantı verilmeyen dosyaların bile bir listesini alır. Ayrıca tüm web uygulaması girdilerinin bir listesini toplar. Uygulamanın ne tür girdiler beklediğini bildiği için uygulamaya karşı daha geniş bir yelpazede testler başlatabilir.

Ekran Görüntüsü 1 – AcuSensor Teknolojisi işlevsellik şeması

Web uygulaması taranırken web uygulaması ile veri tabanı arasında gerçekleşen tüm SQL işlemlerini de tarama özelliğine sahiptir. Web uygulaması ile veritabanı arasında kancalar kurar ve diğer tipik tarayıcıların yaptığı gibi veritabanı hatalarına güvenmeden koddaki SQL enjeksiyon güvenlik açıklarını izleyebilir.

AcuSensor Teknolojisi güvenlik açığı Raporlama

Tipik taramalar tarafından bulunan diğer güvenlik açıklarının aksine, AcuSensor Teknolojisinden bildirilen bir güvenlik açığı çok daha ayrıntılı bilgiler içerir. Aşağıdaki örneklerde görüldüğü gibi kaynak kodu satır numarası, yığın izleme, etkilenen SQL sorgusu vb. detayları içerebilir. AcuSensor Teknoloji tarafından bulunan her zafiyet, başlıkta ‘(AS)’ ile işaretlenecektir.

Örnek 1: Acunetix AcuSensor Technology tarafından bildirilen SQL Enjeksiyonu

Aşağıdaki ekran görüntüsünde yer alan bildirilen SQL enjeksiyonu için, bir SQL enjeksiyon güvenlik açığına neden olan enjekte edilen içeriği içeren SQL sorgusu gösterilmektedir. Geliştiriciye sorunun tam olarak nerede olduğunu yönlendirmek için yığın izleme bilgileri de görüntülenir.

Ekran Görüntüsü 2 – AcuSensor Technology tarafından bildirilen SQL Injection

Örnek 2: Acunetix AcuSensor Technology tarafından bildirilen Kod Enjeksiyonu

Aşağıdaki ekran görüntüsünde belirtilen bildirilen PHP kod enjeksiyonu için, bildirilen güvenlik açığına yol açan kodun satır numarası da dahil olmak üzere güvenlik açığı bulunan dosya adı görüntülenir. Enjekte edilen kod ayrıca ‘Saldırı ayrıntıları’ altında görüntülenir.

Ekran Görüntüsü 3 – AcuSensor Technology tarafından bildirilen PHP kod enjeksiyonu

Çözüm

Yukarıda görüldüğü gibi, AcuSensor Teknolojisini kullanmanın birçok avantajı vardır. AcuSensor Teknolojisinin sağladığı bilgiler, yukarıda belirtilen avantajların yanı sıra, geliştiricinin güvenlik açığını takip etmesine ve çok daha kısa sürede düzeltmesine yardımcı olur. Ayrıca, bu güvenlik açığının oluşmasına izin vermek için kodda neyin yanlış olduğunu anlamalarına yardımcı olur. Bundan, geliştiriciler güvenlik açıkları hakkında proaktif olarak daha fazla şey öğrenir ve gelecekteki web uygulamaları için daha güvenli kod yazmalarına yardımcı olur ve web güvenliği farkındalığını artırır.

Sistem gereksinimleri:

• Windows XP, Vista, 2000 veya Windows 2003 sunucusu
• Internet Explorer 6 veya üstü
• 200 Mb sabit disk alanı
• 1 GB RAM

AYRICA TEKNOLOJİ SAYFAMIZDA DA  İLGİNİZİ ÇEKEBİLECEK BİR ÇOK MAKALE MEVCUT ! GÖZ ATMANIZI TAVSİYE EDERİZ !

Ayrıca EKONOMİ sayfamız da  ilginizi çekebilecek bir çok makale mevcut, göz atmanızı tavsiye ederiz !

FLIPBOARD DERGİLERİMİZİ OKUMAYI UNUTMAYIN !

Google News üzerinden de anlık paylaşımlarımızı takip edebilirsiniz !