【51CTO.com 綜合報道】越來越多的企業(yè)、組織通過Web開展業(yè)務(wù)。Gartner研究報告稱75%的攻擊都是通過Web來進(jìn)行的。

SQL注入問題存在已經(jīng)很久了，主要的原因是Web應(yīng)用程序?qū)τ脩糨斎霗z查不嚴(yán)格、數(shù)據(jù)庫鏈接權(quán)限控制不嚴(yán)格、數(shù)據(jù)庫操作行為控制不嚴(yán)格。正因為是歷史問題，加上代碼越來越繁雜，修修補(bǔ)補(bǔ)的牽扯太多，所以很多用戶都存在僥幸心理，覺得自己不會那么不幸運(yùn)吧。

去年的大規(guī)模群注攻擊非常震撼，攻擊者使用的暴力方式讓人們對SQL注入攻擊有了全新的認(rèn)識，很多人一定還記得自己恢復(fù)數(shù)據(jù)庫時的情景。這一次，專業(yè)做安全業(yè)務(wù)的大廠商也沒躲過這一劫。

MS09-002 漏洞利用 IE 對釋放的對象重利用的異常，經(jīng)過精心編寫 shellcode 進(jìn)行利用，可在客戶端遠(yuǎn)程執(zhí)行代碼。攻擊代碼已經(jīng)被公布，利用此漏洞的掛馬正在進(jìn)行。

WebPecker不同于其他的 Web 掃描器，它將 SQL 注入掃描、XSS 掃描、網(wǎng)馬掃描、敏感信息掃描高度綜合，通過威脅感知，根據(jù)不同網(wǎng)站的特點，靈活調(diào)整和選擇掃描方案，讓您發(fā)現(xiàn)真正的安全隱患。系統(tǒng)通過復(fù)雜的和全面的方法檢測 Web 應(yīng)用安全漏洞，通過并發(fā)爬蟲審計技術(shù)、智能引擎提高準(zhǔn)確度。方便的向?qū)Чδ苁沟?WebPecker更容易配置和使用。

與其他傳統(tǒng)掃描軟件不同的是，WebPecker 對新興的 Web2.0 應(yīng)用和技術(shù)密切關(guān)注，內(nèi)嵌自動javascript 解析器，支持復(fù)雜的 Web 應(yīng)用（如 Ajax、SOAP、JavaScript、Flash等）。適用于通過internet、intranet、extranet進(jìn)行網(wǎng)上交易或信息發(fā)布的大、中、小企業(yè)，如金融、證券、政府、電子商務(wù)、電信運(yùn)營商、基金、網(wǎng)游、科研院所等各類企事業(yè)單位。

系統(tǒng)主要特性：
廣度優(yōu)先爬蟲與網(wǎng)站目錄還原技術(shù)，根據(jù) Web 服務(wù)器和應(yīng)用程序腳本語言類型自動做出調(diào)整。
多線程并發(fā)掃描，與審計同時進(jìn)行，節(jié)省時間。
輸入 URL 即可快速掃描，容易上手
掃描過程中自動量身定制 profile，結(jié)果更準(zhǔn)確。
精選多種掃描策略。
狀態(tài)檢測技術(shù)，全面檢測注入點，不會漏報。
支持主流數(shù)據(jù)庫的漏洞驗證技術(shù)。
支持 SSL 協(xié)議及使用證書的應(yīng)用系統(tǒng)，如網(wǎng)銀。
網(wǎng)頁木馬全面檢測與定位。
多種方法檢測網(wǎng)站是否存在敏感信息。
手工測試臺，包含多個滲透測試工具。
靈活自定義選項，適用于高級用戶。
多權(quán)限分級管理。
多角色報告，適用于管理層、技術(shù)人員。
合規(guī)報告、自定義報告、掃描結(jié)果趨勢分析。

WebPecker 檢測策略包括：
1)SQL 注入
2)Blind SQL 注入
3)XSS
4)CSRF
5)遠(yuǎn)程文件包含(RFI)注入
6)服務(wù)器端包含(SSI)注入
7)本地文件包含(LFI)
8)OS 命令注入
9)不充分的認(rèn)證
10)不充分的 session 過期
11)SSL協(xié)議
12)服務(wù)器錯誤配置
13)目錄索引與枚舉
14)URL 重定向攻擊
15)Cookie 安全性
16)目錄遍歷
17)Ajax 審計
18)敏感文件枚舉
19)敏感信息泄漏
20)網(wǎng)頁木馬