Acunetix 웹 취약점 스캐너로 웹사이트 보안을 체크합니다.
 
클라우드 컴퓨팅과 브라우저 기술의 발달로 웹 어플리케이션과 웹서비스가 여러 사업에서 핵심 요소가 되었고, 그에 따라 해커들의 표적이 되었습니다. 그러나 웹사이트와 웹 어플리케이션의70% 이상이 중요한 기업 정보, 신용 카드 정보, 고객 정보 및 개인식별정보(PII)가 유출될 수 있는 취약점을 안고 있습니다.
웹사이트와 웹 어플리케이션의70% 이상이 데이터가 유출될 수 있는 취약점을 안고 있습니다. 

방화벽, SSL, Hardened Networks는 웹 어플리케이션 해킹에 무력합니다
 
사이버 범죄자들은 이커머스 플랫폼, 블로그, 로그인 페이지, 접속자가 많은 다른 동적인 컨텐츠와 같은 웹 어플리케이션의 취약점을 이용합니다. 보안이 되지 않는 웹 어플리케이션, 웹서비스는 해커가 백엔드 데이터베이스에 접속할 수 있게 할 뿐만 아니라 손상된 사이트를 통해 불법 행위를 할 수 있도록 합니다.
• 웹 어플리케이션 해킹은 합법적 사용자들에게 컨텐츠를 전달하는 동일한 프로토콜, HTTP, HTTPS를 통해 이루어집니다.
• 상업적 어플리케이션 또는 주문 제작 어플리케이션과 마찬가지로 WordPress, Drupal, Joomla!과 같은 무료 공개 소스 소프트웨어에 모두 가해지는 웹 어플리케이션 해킹은 기존의 네트워크 기반 해킹 이상으로 큰 타격을 줍니다.

웹 어플리케이션 자동보안 기술의 리더
 
DeepScan 기술은 SOAP/WSDL, SOAP/WCF, REST/WADL, XML, JSON, Google Web Toolkit (GWT), CRUD 운영과 같은 복잡한 기술을 지원하는 AJAX-heavy client-side Single Page 어플리케이션(SPA)의 정확한 크롤링을 가능하게 합니다.
• 업계 최고급, 최강 SQL 인젝션, DOM 기반 Cross-site Scripting의 고급 탐지와 같은 Cross-site Scripting 테스트
• AcuSensor 기술은 소스코드 내부의 센서로부터 블랙박스 스캐닝 기술과 피드백을 결합함으로써 위양성률을 더욱 낮추어 정확한 스캐닝이 가능합니다.

빠르고 정확하고 쉽습니다

• 장애 없이 수십만 페이지를 크롤할 수 있는 유비쿼터스 광속 크롤러 및 스캐너
• WordPress 취약점을 가장 확실히 탐지 – WordPress 코어, 테마, 플러그인에서 알려진 1,200가지 이상의 취약점 스캔
• 멀티-스텝, Single Sign-On (SSO), OAuth 기반 웹사이트와 같은 복잡한 암호로 보호된 구역의 자동 크롤링, 스캐닝을 가능케 하는 손쉬운 로그인 시퀀스 리코더
• 개발자와 사업 소유주 모두를 위해 다양한 범위의 기술 및 순응도 리포트를 간편하게 생성

최고의 SQL 인젝션, XSS 탐지율
 
정확한 취약점 탐지는 가장 모호한 SQL 인젝션, XSS, 500가지 이상의 다른 웹 어플리케이션 취약점에서 가장 분명한 것을 탐지하는 능력을 바탕으로 이루어지고 있습니다. Acunetix는 대역 외 SQL 인젝션, DOM 기반 XSS와 같은 다양한SQL 인젝션, XSS 취약점을 탐지하는 업계의 선두주자입니다.
Acunetix Vulnerability Scanner 는 SQLi, XSS, 숨은 파일 탐지 벤치마크에서 최고 점수를 획득합니다.
소스 - SecTools Addict Benchmark

심층 SQL 인젝션 및 Cross-Site Scripting (XSS) 취약점 테스트
 

Acunetix Vulnerability Scanner 는 SQL 인젝션, XSS와 같은 수많은 웹 어플리케이션 취약점을 효과적으로 테스트합니다. SQL 인젝션은 가장 오래되고 가장 널리 퍼진 소프트웨어 버그로서, 해커들이 SQL 쿼리를 변형시켜 데이터베이스의 데이터에 접근할 수 있게 합니다. 해커들은 XSS 해킹으로 방문자 브라우저의 악성 스크립트를 실행하여, 그 사용자를 사칭할 수 있습니다.

동적 어플리케이션 보안 테스트(DAST)에서는 스캐너가 수행하는 테스트의 수도 중요하지만 어플리케이션을 얼마나 잘 크롤하는가가 더 중요합니다. 크롤을 할 수 없으면 스캔도 할 수 없습니다! Acunetix Vulnerability Scanner 의 DeepScan 기술은 복잡한 SPS를 스캔하여 DOM 기반 XSS 취약점과 같은 클라이언트 사이드 취약점 가운데서도 최고의 취약점 탐지율을 보증합니다.

고급 자동 DOM 기반 XSS 취약점 테스트
 

DOM 기반 XSS는 웹 어플리케이션의 클라이언트 사이드 스크립트 사용자가 Document Object Model (DOM)에 데이터를 제공할 때 발생하는 XSS의 진화된 해킹 형태입니다. 그에 따라 웹 어플리케이션이 DOM에서 데이터를 읽고 브라우저에 반영합니다. 브라우저를 적절히 관리하지 않으면 해커가 DOM의 일부로 페이로드를 걸어 데이터가 DOM에서 거꾸로 읽힐 때 실행됩니다.

DOM 기반 XSS는 클라이언트 사이드 해킹으로, 해커의 페이로드는 절대 서버로 가지 않습니다. 따라서 탐지하기가 더욱 어렵습니다. Acunetix Vulnerability Scanner 는 넓은 범위의 고급 DOM 기반 XSS를 탐지하고 주입된 페이로드가 브라우저의 DOM 내에서 움직일 때 그 스택 트레이스를 제공합니다.
 

블라인드 XSS, XXE, SSRF, 호스트 헤더 해킹, 이메일 헤더 인젝션 탐지

​
 

• 테스트에서 스캐너에 응답하지 않는 취약점 테스트와 같은 세컨드 오더 취약점 탐지에서는 기존 취약점 탐지 방법이 무력합니다. 세컨드 오더 취약점 탐지를 위해서는 매개 서비스, 즉Acunetix Vulnerability Scanner, 그에 탑재된 AcuMonitor 기술로써 그러한 취약점을 탐지하고 스캔을 실행하는 사용자가 확인할 수 있게 해야 합니다.
• AcuMonitor는 블라인드 XSS, XML External Entity Injection (XXE), Server Side Request Forgery (SSRF), 호스트 헤더 해킹, 이메일 헤더 인젝션, 패스워드 재설정 중독과 같은 취약점을 탐지하게 합니다.  

취약성 관리 및 규제 준수 보고서
 
취약성 관리 (VM)는 취약성을 발견하고, 측정하며, 교정하는 일련의 활동입니다. Acunetix는 하나의 통합된 관점을 통해서 데이터에 기반하여 핵심적인, 우선 순위가 높은 위험에 대하여 고급 VM 기능을 구현하며, 스캐너의 결과를 다른 도구 및 플랫폼으로 통합합니다.

하나의 통합된 관점에서 취약성 관리
 
효과적인 보안 프로그램을 구축하고 유지하기 위해서는 팀워크와 공동 작업이 필요합니다. Acunetix의 다중 사용자, 다중 역할 기능은 여러분의 팀이 유연하고 생산적이면서도 동시에 필요한 자원에만 접속할 수 있도록 해 줍니다.
• 하나의, 중심적인 장소에 보안에 대한 회사의 태도를 통합한 관점.
• 어플리케이션 보안을 관리하기 위해서 PDF와 스프레드시트가 필요하지 않습니다.
 

PDF가 아니라, 이슈를 추적
 
개발 팀은 이슈 추적기에서 업무량을 관리하며, 새로운 기능의 진행 상황을 추적하고 마감 기한을 관리합니다. 주의를 기울여야 하는 보안 이슈로 가득 찬 “300 페이지짜리 PDF”를 가지고 개발자들에게 가면 역효과를 낳을 뿐 아니라 의사 소통의 장벽만 쌓이게 됩니다.
• Atlassian JIRA, GitHub 및 Microsoft Team Foundation Server (TFS)와 통합.
• 이력 데이터, 트렌드 분석 및 우선 순위 측정 도구를 활용한 관리 제공.
• 소프트웨어 개발 주기에 통합하여 교정에 드는 시간과 노력 감소.
 

고급 경영진 및 준수성 보고
 
Acunetix는 여러분이 경영진과 내부적으로, 그리고 규제 기관과 보안 관련 결과물을 공유할 수 있도록 보고서를 생성합니다. 보고서는 1회의 스캔, 특정 대상, 또는 심지어 임의적인 스캔 또는 대상 집단에 초점을 맞출 수 있습니다.
• 상세한 기술 또는 관리 보고서를 쉽게 생성합니다.
• PCI DSS, OWASP Top 10, ISO 27001 및 HIPAA 등의 준수성 보고를 포함합니다.
 

우리는 이 프로그램을 사용하여 새로운 어플리케이션을 스캔하며, 매년 새로운 개발 감사에도 사용합니다. 이 프로그램 덕분에 우리는 판매자로부터 받은 소프트웨어에 취약성을 포착할 수 있었습니다.

Troy Dowd,Owens-Illinois, Inc.