验证式漏洞发现
最近更新时间: 2023-01-05 14:24:10
采用验证式漏洞检测技术,通过内置漏洞扫描插件,模拟真实攻击行为,发送攻击载荷,根据分析发送和返回数据内容,智能判断是否存在漏洞,相较于漏洞特征匹配的猜测式检测,具有准确性高、误报率低的优势。
| 漏洞类型 | 支持检测的漏洞种类 |
| 主机服务漏洞检测插件 | 操作系统、系统服务、数据库服务等开源和商用软件的不安全配置、未授权访问、后门、信息泄露等 |
| 网络设备漏洞检测插件 | 常见交换机、防火墙、VPN、邮件网关等设备的命令注入、未授权访问、不安全配置等 |
| 通用web应用漏洞检测插件 | SQL注入、CSRF、CRFL注入、命令注入、XXE、SSRF、XSS、文件上传、服务器错误信息、敏感信息泄露、表单弱口令、不安全的HTTP配置、路径穿越、任意跳转等 |
| 常见Web组件检测插件 | Apache、IIS、JBoss、WordPress等常用组件的不安全配置、注入、未授权访问、权限绕过等 |
扫描插件覆盖Web和主机常见漏洞类型,根据目标资产的响应信息自动调整参数,扫描结果中能详细阐述漏洞位置、危害和利用方式,在不影响业务正常运行前提下,精准报告漏洞信息。