- 1、本文档共4页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
北京智恒联盟WebPecker招标参数
基本要求 指标 产品及公司资质 软件著作权证书。
公司通过ISO9000软件开发认证管理要求。
公司通过高新技术企业认证。
公司通过软件企业认证。 产品形态 产品为软件。 管理模式 B/S结构 管理特性 提供全面、详细的统计报表功能,能够提供图形界面进行查询。
提供友好的图形界面集中管理方式、集中配置功能。
对重要的操作要有确认提示。
系统设备应提供数据备份手段,定期对各种重要数据进行备份。
系统采取了健壮的安全保密措施,确保系统和数据资源的安全,防止对系统资源的非法侵入。 核心功能 能够检测目标网站是否存在SQL注入漏洞。
能够检测目标网站是否存在XSS跨站脚本漏洞。
能够检测目标网站是否存在常见的CGI漏洞。
能够检测目标网站是否存在常见的第三方Web应用漏洞。 核心检测功能参数 能指定搜索层数及最大url数。
不会陷入死循环。
能边爬取网页边进行检测,或者先爬取网页后进行检测。
能够广度优先的遍历网站。
能够准确抓取url参数和表单参数。
能处理常见的js链接拼接。
能够自动、准确识别文件类型,跳过rar,zip,jpg,wma等多种格式的文件。
能够自动处理超大型文件,避免扫描效率降低。
能够识别flash导航条。
在带宽充足的情况下,每1000个url的站点完整爬取时间不超过10分钟,远远超越国内外各类产品。
支持如下http特性:
支持所有类型的动态页面
支持HTTP 1.0和1.1标准的Web应用系统
支持基于NTLM、Cookie、证书认证方式的Web应用系统安全扫描
支持基于HTTPS应用系统的检测
页面爬取准确度高达99.9%,对于大部分网站0漏报。
SQL注入检测
能够对GET,POST提交的参数和cookies,HTTP头部的user-agent进行sql注入检测。
能够识别路径形式的参数并进行SQL注入检测。
能够对检测到的SQL注入地址进行漏洞验证。
能够支持如下数据库:
Oracle
MSSQL
DB2
Informix
Sybase
Mysql
PostgreSQL
Access
Ingres
能够支持ASP,ASP.net,PHP,JSP等多种动态语言。
自动调整检测频率,避免造成目标扫描站点不稳定。
提供配置审计功能:
通过当前弱点,模拟黑客攻击,实现数据库的审计功能,获得后台数据库连接信息、数据库实例名、数据库版本、数据字典等配置信息。
准确率:99.0%。对于大部分网站,达到0误报。
漏报率:1%。对于大部分网站,保证1%以下的漏报率。
XSS检测
能够对GET,POST提交的参数和cookies,HTTP头部的user-agent进行检测。
能够识别路径形式的参数并进行检测。
能够支持ASP,ASP.net,PHP,JSP等多种动态语言。
系统内置多种测试用例,精准覆盖所有可能的漏洞点。
自动调整检测频率,避免造成目标扫描站点不稳定。
准确率:98.5%。对于大部分网站,达到0误报。
漏报率:1.5%。对于大部分网站,保证1%以下的漏报率。 CGI漏洞检测
包含上千条精心挑选、有效的CGI检测规则。
覆盖所有主流web应用服务器的CGI漏洞。
基于智能学习算法的动态页面识别算法,高效识别有效页面。
通过贝叶斯算法,动态模糊算法精准识别404不存在页面、302重定向页面,达到业界最优的CGI检测准确率。
准确率:98.5%。对于大部分网站,达到0误报。
漏报率:1.5%。对于大部分网站,保证1%以下的漏报率。
第三方web应用漏洞检测
涵盖目前主流的web应用平台及第三方web应用,如各种bbs,blog,sns系统及平台。
自动探测、识别目标网站存在的各种第三方web应用。
国内实力最强的专业安全团队挖掘、分析、跟踪第三方应用漏洞,确保及时发现、更新最新出现的web应用漏洞。
提供详细的漏洞修补建议。
准确率:99%。对于大部分网站,达到0误报。
漏报率:1.5%。对于大部分网站,保证1.5%以下的漏报率。 管理功能 站点监控
能够批量输入站点地址
支持https站点
可指定网站监控深度
可指定网站监控最大页面数
可设置扫描的代理选项
可为站点添加标签,便于管理
可预约扫描时间
可设置漏洞检测高级选项
可设置内容监控高级选项
可设置篡改监控高级选项
站点报表
站点列表能查看目标站点的相关信息,包括当前检测结果及历史检测报表,主要有如下部分:
站点基本信息
网站总体风险趋势评分
端口详情
监控基本信息
篡改监控汇总
内容监控汇总
内容监控详情
脆弱性监控汇总
脆弱性监控详情
安全指数计算说明
可进行如下操作:
导出离线报表
查看第三方评判详情
查看单项详情
查看历史检测详情
结果验证(sql注入)
文档评论(0)