產品概述
ASEC WEB應用脆弱性評估系統(簡稱:WVAS)是由六壬網安安全團隊多年的安全研究沉淀和服務實踐經驗的基礎上,深入分析研究B/S架構應用系統中典型安全漏洞以及流行攻擊技術,自主研發的一款用于評估WEB應用安全風險的產品。該產品嚴格按照計算機信息系統安全的國家標準、相關行業標準設計、編寫。WVAS全面支持OWASP TOP 10檢測,可以幫助用戶充分了解WEB應用存在的安全隱患,建立安全可靠的WEB應用服務,改善并提升應用系統抗各類WEB應用攻擊的能力(如:SQL注入攻擊、跨站腳本、文件包含、遠程代碼執行、主流CMS漏洞檢測等),在WEB網站受到危害之前為管理員提供專業、有效的安全分析和修補建議,并貼合安全管理流程對修補效果進行審計,是信息系統安全管理員不可或缺的幫手。
產品廣泛應用于政府、公安、教育、衛生、電力、金融等行業,幫助用戶解決目前所面臨的各類常見及最新的WEB安全問題,同時,協助用戶滿足等級保護、行業規范等政策法規的安全建設要求。
產品特色
精細的資產管理
引入以資產為導向的漏洞管理模型,實現資產風險快速定位。精細的資產管理,能夠對企業的網絡資產進行完整有序的梳理,主動與被動相結合的資產發現,幫助企業深度抓取IT邊界及遺忘資產,并通過計算模型完成資產分級與建模,并以邏輯拓撲的形式進行組織并圖形化展示。主動發現與監控安全漏洞、運維缺陷、威脅情報、人為弱點在內的企業安全風險,使得企業全網資產重要度、風險一目了然。
領先的掃描技術
基于內核優化、高可靠的Linux系統,采用B/S結構HTTPS通訊加密、軟硬件一體化。擁有自主研發高效穩定的核心掃描引擎,綜合運用智能爬蟲引擎和手動爬行相結合的技術,實現URL全面抓取。產品采用主動掃描和被動掃描相結合的方式,實現網站全方位漏洞檢測,解決傳統Web掃描器無法的解決痛點。同時還資源動態調節、代理緩存機制和實時任務調度等領先技術,實現了對大規模網站的快速、穩定的掃描。產品會自動獲取網站包含的相關信息,并全面模擬網站訪問的各種行為,比如按鈕點擊、鼠標移動、表單復雜填充等,通過內建的"安全模型",全面、深度、準確地檢測Web應用系統潛在的各種應用弱點,有助于提高主動防御能力。
智能的引擎調度
采用智能的調度算法和多引擎分離技術,引擎包含任務調度、業務調度引擎、爬蟲引擎和漏洞檢測引擎,各引擎實現相互獨立,根據引擎資源的使用情況,進行動態調整和智能的任務調度,在保證準確率的前提下大幅提高了檢測的速度。
強大的漏洞取證功能
產品擁有漏洞取證功能,支持當前各種主流的數據庫如(Mysql、Oracle、MSSQL、DB2、Informix、Sybase、PostgreSQL、Access、 Ingres、Sqlite等)。通過當前弱點,模擬黑客使用的漏洞發現技術和攻擊手段,對目標WEB應用的安全性做出深入分析,并實施無害攻擊,取得系統安全威脅的直接證據。幫助使用工具的人員對Web安全的理解,驗證漏洞是否存在危害。因此,如果Web應用脆弱性評估系統能自動利用檢測出來的漏洞取得系統安全威脅的直接證據的話,將極大幫助工具使用人員。
豐富的漏洞知識庫
產品擁有齊全漏洞知識庫,WEB漏洞庫條數保持國內領先,全面支持并兼容CVE、CWV等國際標準,全面支持OWASP TOP 10檢測,支持對當前各種主流的WEB應用、操作系統、數據庫、應用服務、國內外主流CMS及各類第三方組件等漏洞檢測,掃描快速、準確。
多視角的風險評估
采用多視角風險評估模型,通過橫向和縱向對比分析,可以方便直觀地了解網站當前安全狀況以及安全趨勢。系統提供了安全評估和風險自評兩種模式,既可以周期性的進行全面安全檢測,還可以結合實際業務系統進行深入的安全評估。產品還可以通過歷史掃描結果進行趨勢分析,更深入了解Web站點的安全態勢。
人性化的報表展示
產品支持常規報表、行業報表(OWASP Top 10)、等級保護合規性報表、趨勢分析報表。直觀的統計分析,完備的風險評估,并提供多層次、多角度分析視角,滿足不同管理角色需求的詳細的脆弱點分析報表。同時,系統支持各類格式輸出,并可自定義內容。
多元化的升級方式
升級頻率:每周一次漏洞庫升級。
升級方式:支持離線、在線、定時升級,滿足各種應用場景。
重要安全漏洞的實時通知公告。
部署方式
網絡層即插即用無需改變拓撲結構,支持多種靈活的部署方式,定期地對目標網站進行檢測,同時給出相應的解決建議,用戶根據這些解決建議來做出相應的防護。