北京智恒联盟WebPecker招标参数.doc

基本要求 指标 产品及公司资质 软件著作权证书。 公司通过ISO9000软件开发认证管理要求。 公司通过高新技术企业认证。 公司通过软件企业认证。 产品形态 产品为软件。 管理模式 B/S结构 管理特性 提供全面、详细的统计报表功能，能够提供图形界面进行查询。 提供友好的图形界面集中管理方式、集中配置功能。 对重要的操作要有确认提示。 系统设备应提供数据备份手段，定期对各种重要数据进行备份。 系统采取了健壮的安全保密措施，确保系统和数据资源的安全，防止对系统资源的非法侵入。 核心功能 能够检测目标网站是否存在SQL注入漏洞。 能够检测目标网站是否存在XSS跨站脚本漏洞。 能够检测目标网站是否存在常见的CGI漏洞。 能够检测目标网站是否存在常见的第三方Web应用漏洞。 核心检测功能参数 能指定搜索层数及最大url数。 不会陷入死循环。 能边爬取网页边进行检测，或者先爬取网页后进行检测。 能够广度优先的遍历网站。 能够准确抓取url参数和表单参数。 能处理常见的js链接拼接。 能够自动、准确识别文件类型，跳过rar,zip,jpg,wma等多种格式的文件。 能够自动处理超大型文件，避免扫描效率降低。 能够识别flash导航条。 在带宽充足的情况下，每1000个url的站点完整爬取时间不超过10分钟，远远超越国内外各类产品。 支持如下http特性： 支持所有类型的动态页面 支持HTTP 1.0和1.1标准的Web应用系统 支持基于NTLM、Cookie、证书认证方式的Web应用系统安全扫描 支持基于HTTPS应用系统的检测 页面爬取准确度高达99.9%，对于大部分网站0漏报。 SQL注入检测 能够对GET，POST提交的参数和cookies，HTTP头部的user-agent进行sql注入检测。 能够识别路径形式的参数并进行SQL注入检测。 能够对检测到的SQL注入地址进行漏洞验证。 能够支持如下数据库： Oracle MSSQL DB2 Informix Sybase Mysql PostgreSQL Access Ingres 能够支持ASP，ASP.net，PHP，JSP等多种动态语言。 自动调整检测频率，避免造成目标扫描站点不稳定。 提供配置审计功能： 通过当前弱点，模拟黑客攻击，实现数据库的审计功能，获得后台数据库连接信息、数据库实例名、数据库版本、数据字典等配置信息。 准确率：99.0%。对于大部分网站，达到0误报。 漏报率：1%。对于大部分网站，保证1%以下的漏报率。 XSS检测 能够对GET，POST提交的参数和cookies，HTTP头部的user-agent进行检测。 能够识别路径形式的参数并进行检测。 能够支持ASP，ASP.net，PHP，JSP等多种动态语言。 系统内置多种测试用例，精准覆盖所有可能的漏洞点。 自动调整检测频率，避免造成目标扫描站点不稳定。 准确率：98.5%。对于大部分网站，达到0误报。 漏报率：1.5%。对于大部分网站，保证1%以下的漏报率。 CGI漏洞检测 包含上千条精心挑选、有效的CGI检测规则。 覆盖所有主流web应用服务器的CGI漏洞。 基于智能学习算法的动态页面识别算法，高效识别有效页面。 通过贝叶斯算法，动态模糊算法精准识别404不存在页面、302重定向页面，达到业界最优的CGI检测准确率。 准确率：98.5%。对于大部分网站，达到0误报。 漏报率：1.5%。对于大部分网站，保证1%以下的漏报率。 第三方web应用漏洞检测 涵盖目前主流的web应用平台及第三方web应用，如各种bbs，blog，sns系统及平台。 自动探测、识别目标网站存在的各种第三方web应用。 国内实力最强的专业安全团队挖掘、分析、跟踪第三方应用漏洞，确保及时发现、更新最新出现的web应用漏洞。 提供详细的漏洞修补建议。 准确率：99%。对于大部分网站，达到0误报。 漏报率：1.5%。对于大部分网站，保证1.5%以下的漏报率。 管理功能 站点监控 能够批量输入站点地址 支持https站点 可指定网站监控深度 可指定网站监控最大页面数 可设置扫描的代理选项 可为站点添加标签，便于管理 可预约扫描时间 可设置漏洞检测高级选项 可设置内容监控高级选项 可设置篡改监控高级选项 站点报表 站点列表能查看目标站点的相关信息，包括当前检测结果及历史检测报表，主要有如下部分： 站点基本信息 网站总体风险趋势评分 端口详情 监控基本信息 篡改监控汇总 内容监控汇总 内容监控详情 脆弱性监控汇总 脆弱性监控详情 安全指数计算说明 可进行如下操作： 导出离线报表 查看第三方评判详情 查看单项详情 查看历史检测详情 结果验证（sql注入）