WebRavor应用安全评估软件
作为新一代的WEB应用安全扫描系统,WebRavor领先于同类的产品,能轻松应付各种复杂的应用系统(WEB、ERP、SSL等)。
准确
WebRavor的扫描策略精确针对各个数据库系统特点,结果准确,误报率和漏报率低。
普适
WebRavor能够支持绝大多数的主流数据库,包括:Oracle、DB2、Sybase、INFORMIX、Microsoft SQL Server、Access和MySQL、根据不同数据库的特点进行有针对性的漏洞分析。
灵活
WebRavor支持两种扫描模式,不仅可以全自动地进行主动模式扫描,还可以在用户的干预下进行被动模式的扫描,以便对一些复杂表格和应用进行全面检测。
支持SSL扫描
WebRavor 是目前世界上唯一一款全面支持SSL的扫描工具,能够自动获取所有必须的要素,对基于SSL传输的内容进行分析,可对网银等基于HTTPS协议的WEB应用进行安全评估。
高效可靠和扩展性
WebRavor采用了框架设计结构,检测内容采用类XML的描述语言描述和配置,无需改动程序代码实现对WebRavor的功能的无限扩展。
用户可以根据需要自行订制或者开发新的审计策略,无须对代码进行任何改动。
对数据库进行配置审计
Ø 获取数据库用户帐号
Ø 获取数据库用户密码HASH,对于特定的数据库类型还可以进行密码强度测试
Ø 获取数据库权限结构
Ø 获取数据版本详细信息
Ø 获取数据库存储过程
Ø 获取数据库安全相关的配置选项
Ø 获取数据字典
灵活的渗透性测试
WebRavor还提供了一个高效、可靠的渗透测试框架,可以根据需要自行定制渗透测试方法,在框架的支持下进行检测。
作为常见的实例,目前提供了一些常见的测试手段和0-Day。包括:
Ø HTMLDB
Ø 权限提升
Ø 执行系统命令
Ø 读取目录
Ø 获取注册表信息
Ø 更新数据库等
WebRavor 作为新一代的WEB应用安全扫描系统,WebRavor领先于国内外同的产品,能轻松应对各种复杂的应用系统(WEB、ERP、SSL等)。
WebRavor 在2006年8月的世界安全大会BlackHat和Def-Con上首次公开发布后(当时名称为MatriXay),Oracle顶尖安全专家Pete Finnigan等对其进行了全面测试,评价WebRavor为“最佳的WEB安全评估系统”(Pete Finnigan Says: This is the best Web app scanner I have ever seen.)
WebRavor is by far one of the best blue teaming and red teaming tool available on the commercial market for assessing vulnerabilities within you web based applications.(Michael Leigh Sr. Information Security Manager Oracle Corporation).
WebRavor是目前世界上最先进的应用安全评估系统,被成为“The best blue teaming and red teaming tools (Oracle CIO)”。WebRavor主要提供四个方面的功能:
扫描、审计、渗透测试和辅助逻辑分析,可对基于Web的应用系统进行全面的安全评估和评价。
深度扫描,提供对应用程序弱点的扫描
数据库审计,透过弱点对后台数据库进行安全基线审计
渗透测试,综合扫描和审计的结果,自动化地进行渗透性测试
策略库,应用弱点的检测知识库
Socket通讯层,提供对HTTP/HTTPS/PCKS#11/CryptAPI的支持
除了通常的用户界面作为主要的工作区域之外,还特别提供了两个重要的接口:
用户编辑接口,用户可以通过这个功能接口对WebRavor的策略进行增加或者编辑,使其功能扩展变得非常简单。
被动模式接口,采用半自动半人工的工作方式,用于进行复杂应用的检测。
深度扫描
WebRavor具有自动遍历整个WEB架构的深度扫描功能,自动分析应用系统的代码,当发现了存在弱点的代码之后,会根据不同数据库的特点尝试进行数据获取,验证漏洞的真是性。扫描结果准确,误报和漏报率低。
WebRavor的扫描功能具有以下特点:
准确
WebRavor的扫描策略精确针对各个数据库系统特点,结果准确,误报率和漏报率低。
普适
WebRavor能够支持绝大多数的主流数据库,包括:Oracle、DB2、Sybase、INFORMIX、Microsoft SQL Server、Access和MySQL、根据不同数据库的特点进行有针对性的漏洞分析。
灵活
WebRavor支持两种扫描模式,不仅可以全自动地进行主动模式扫描,还可以在用户的干预下进行被动模式的扫描,以便对一些复杂表格和应用进行全面检测。
支持SSL扫描
WebRavor 是目前世界上唯一一款支持SSL的扫描工具,能够自动获取所有必须的要素,对基于SSL传输的内容进行分析,可对网银等基于HTTPS协议的WEB应用进行安全评估。
高效可靠和扩展性
WebRavor采用了框架设计结构,检测内容采用类XML的描述语言描述和配置,无需改动程序代码实现对WebRavor的功能的无限扩展。
对于用户交互性强的应用(例如ERP),WebRavor提供了被动扫描模式,在不改变任何用户使用习惯的前提下,在后台自动进行弱点检测,这也是其他同类所不具备的。
此外,对于采用SSL的应用,无论是否需要证书,WebRavor都可以一样轻松应付,将SSL内容全部还原为明文,为此类复杂应用进行安全检测和分析提供支持。
数据库审计
WebRavor通过检测出的弱点对数据库进行配置审计,包括:
获取数据库用户帐号
n 获取数据库用户密码HASH,对于特定的数据库类型还可以进行密码强度测试
n 获取数据库权限结构
n 获取数据版本详细信息
n 获取数据库存储过程
n 获取数据库安全相关的配置选项
用户可以根据需要自行订制或者开发新的审计策略,无须对代码进行任何改动。
WebRavor目前支持的数据库类型有:
MSSQL Server
Access
MySQL
Oracle
DB2
Sybase (ASE)
Informix
渗透测试
WebRavor还提供了一个高效、可靠的渗透测试框架,可以根据需要自行定制渗透测试方法,在框架的支持下进行检测。
作为常见的实例,目前提供了一些常见的测试手段和0-Day。
包括:
n HTMLDB
n 权限提升
n 执行系统命令
n 更新数据库等
灵活定制的报告
WebRavor提供强大的报告支持,报告的内容和格式都可以自行进行定义,以适应不同的受众。从全面风险概述和具体的技术细节都可以进行选择。
WebRavor的报告模板可以采用可视化工具进行自行设计和编辑,可以满足用户的不同需要。
提供XML和CSV两种格式的导出,大部分评估数据都可以单独导出,为其他第三方系统提供数据支持。
Posted in安全
北京安域领创-WebRavor应用安全评估软件
