DefenseCode — 資訊保安測試工具
DefenseCode是一家AST(應用程式安全測試)領域的供應商,專注於資訊保安諮詢與缺陷研究。DefenseCode提供的產品旨在使用動態應用程式安全測試(DAST、黑盒測試)和靜態應用程式安全測試(SAST、白盒測試)技術,分析和測試應用程式的安全漏洞。DefenseCode在滲透測試、零日漏洞研究、安全審計和原始碼安全分析方面有豐富的經驗。
軟體漏洞是公司或組織所面臨的嚴峻安全挑戰。駭客會利用軟體漏洞危害公司安全,造成資訊、金錢上的損失,擾亂業務運作。這樣的事故會造成各種直接或間接的損害,包括負面公關以及客戶喪失信心等。根據《福布斯》雜誌2018年的資料,資料安全漏洞造成的平均損失為791萬美元。
為此,DefenseCode的產品提供了軟體漏洞檢測的解決方案:在開發期間進行測試——靜態應用安全測試(SAST,白盒測試),以及在軟體部署之後進行的測試——動態應用安全測試(DAST,黑盒測試)。
DefenseCode ThunderScan——針對資訊保安的程式碼靜態分析工具
• 產品介紹
DefenseCode ThunderScan是一個SAST(靜態應用程式安全測試、白盒測試)解決方案,用於對應用程式原始碼執行廣泛的安全分析。ThunderScan易於使用,幾乎不需要使用者輸入,可以在開發期間或開發之後部署。它可以透過自動化程式碼分析的方式,有效替代高要求並且耗時的人工程式碼審查過程。ThunderScan可以快速並準確地分析大型和複雜專案的原始碼,提供精確的結果和低誤報率。
• 廣泛的適用性
DefenseCode ThunderScan支援C/C++、C#、Java、PHP、ASP、VB.Net、Visual Basic、VBScript、Python、Ruby、JavaScript、TypeScript、Node.js、Android Java、IOS Objective C、PL/SQL、ColdFusion、Groovy、COBOL等多種開發語言/框架,覆蓋當前開發平臺。
ThunderScan可以在伺服器上部署為Web應用,並透過網頁方便地訪問,並提供強大的REST API以供透過Windows、Linux或Mac平臺進行呼叫。也可以直接部署為Windows桌面版。ThunderScan支援與Git、TFS、SVN等版本控制系統進行整合,便於程式碼管理。
• 漏洞覆蓋
ThunderScan能夠為使用不同開發環境和框架,在不同平臺上開發的應用程式掃描多達30多種漏洞型別(其中包括OWASP Top 10),其中一些如下:
♦
SQL 注入
♦
XPATH注入
♦
檔案洩漏
♦
郵件轉發
♦
跨站指令碼攻擊
♦
弱加密
♦
危險配置項
♦
程式碼注入
♦
危險的副檔名
♦
Shell命令執行
♦
HTTP響應分拆攻擊
♦
資訊洩漏
♦
LDAP注入
DefenseCode Web Security Scanner——動態Web應用安全掃描工具
• 產品功能
DefenseCode WebScanner是一個動態應用程式安全測試(DAST,黑盒測試)解決方案,用於對動態的web應用程式(網站)進行安全審計。WebScanner將像真正的攻擊者一樣,使用多種技術進行大量攻擊,從而測試網站的安全性。
無論web應用程式的開發平臺是什麼,都可以使用DefenseCode WebScanner。即使原始碼已不再可用,也可以使用它。WebScanner支援HTML、HTML5、web 2.0、AJAX/jQuery、JavaScript和Flash等主要web技術。它能夠針對各種web伺服器和web技術上的漏洞,執行5000多個通用缺陷和曝光測試,並能夠發現50多個漏洞型別,其中包括OWASP Top 10。
• 優勢
DefenseCode Web Security Scanner有簡潔而現代化的使用者介面,並且操作簡便。使用者只需要輸入被測網站的url,WebScanner就能模仿駭客的行為,展開滲透測試。藉助全面的Web爬蟲技術和快速的掃描引擎,WebScanner能夠快速地對Web應用進行安全掃描,並且能夠支援JavaScript以及Flash。在測試完成之後,還能夠自動生成完備而美觀的報告。
• 漏洞覆蓋
目前,Web Scanner能夠發現超過50種Web應用安全缺陷(其中包括OWASP Top 10)。其中一些列舉如下:
♦ SQL 注入
♦ XPATH注入
♦ 檔案洩漏
♦ SQL盲注
♦ 跨站指令碼攻擊
♦ 緩衝區溢位
♦ 危險的副檔名
♦ Shell命令執行
♦ HTTP響應分拆攻擊
♦ 資訊洩漏
♦ LDAP注入
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31535135/viewspace-2750975/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- Cybellum—資訊保安測試工具
- White Source SAST—資訊保安測試工具AST
- 智慧網聯汽車資訊保安測試解決方案
- 軟體驗收測試 第三方軟體測試 軟體功能測試 軟體資訊保安測試
- 資訊保安
- web滲透的測試流程是什麼?網路與資訊保安Web
- 【三】資訊保安
- 保護企業資訊保安,阿里雲滲透測試服務釋出阿里
- 軟體資訊保安檢測有哪些內容
- 物聯網資訊保安
- 關於資訊保安的
- 資料庫的資訊保安管理資料庫
- 曹政資訊保安課筆記-常見資訊保安的常識錯誤筆記
- 資訊保安檢查內容
- 如何保障Cookie的資訊保安Cookie
- 分享資訊保安工作小記
- 人工智慧與資訊保安人工智慧
- 資訊保安與Linux系統Linux
- 資訊保安數學基礎
- [資訊保安] WEP 是什麼
- 員工電腦資訊保安
- 資訊保安作業1——SYSU
- 有哪些可以檢測文章違規資訊的工具?這個你可以試試
- 滲透測試需要需要學什麼?資訊收集工具之Nmap
- [測試工具]
- 滲透測試-資訊收集
- 滲透測試------資訊收集
- 滲透測試——資訊收集
- 和CISSP並肩的資訊保安認證國際註冊資訊保安經理CISM
- 什麼是資訊保安風險評估?資訊保安風險評估的步驟?
- 大資料測試學習筆記之測試工具集大資料筆記
- 古代密碼學與資訊保安密碼學
- 資訊保安問題與防範
- Linux賬戶資訊保安深入剖析Linux
- 資訊保安概論複習3
- 資訊保安概論複習-2
- 資訊保安概論期末複習
- 視訊弱網測試及常用模擬工具