WebRavor

应用安全的解决之道

产品介绍

  WebRavor是在深入研究分析WEB应用系统中典型安全漏洞及流行攻击技术的基础上,由国内资深团队开发的一款WEB应用安全评估产品。研发及测试时间历经4年,经过10万多个真实系统的测试,是目前业界普遍认可的专注于WEB应用安全弱点的评估工具。
  WebRavor在2006年8月的世界安全大会BlackHat和Def—Con上发布后,被评价为“专业的WEB安全评估工具”
  It is by far one of the best blue teaming and red teaming tool available on the commercial market for assessing vulnerabilities within your web based applications.(Michael Leigh Sr. Information Security Manager Oracle Corporation)

功能架构

功能架构

基础网络通信

  • 支持HTTP 1.0/1.1
  • 支持POST/GET/Cookie方法
  • 支持Basic/NTLM验证
  • 支持基于公钥或者私钥的SSL
  • 支持多个代理服务器的轮询

多任务调度管理

  • 全面支持多任务模式
  • 支持断点续扫,任务分时进行
  • 支持自动批量模式
  • 支持定时扫描模式和自动恢复模式

弱点扫描

  • WebRavor具有自动遍历整个WEB架构的深度扫描功能,自动分析应用系统的代码,当发现了存在弱点的代码后, 会根据不同数据库的特点尝试进行数据获取,用事实证明漏洞的存在
  • 扫描结果准确,误报和漏报率低
  • 多种扫描方式(主/被动、按层次、嗅探模式等)
  • WebRavor支持两种扫描模式,不仅可以全自动地进行主动扫描,还可以在用户的干预下进行被动模式的扫描,以便对一些复杂表单和应用进行全面检测
  • 支持任何基于开放协议的应用系统(WEB、ERP、SSL等)
  • 应用系统的开发语言无关性,全黑盒测试
  • 高效的爬行引擎,不仅能分析全部的URL,甚至对复杂的JavaScript分析都能够达到95%以上

证据收集

  • 对检测的弱点进行证据收集,自动识别数据类型,获取数据库名称和连接的用户名称
  • 可以获取整个数据库结构及数据,并且具有智能查询功能
  • 支持绝大多数主流数据库
  • 证据具有不可抵赖性
  • 弱点验证机制,使误报率接近于“0”

信息获取

  • 获取数据库用户账号
  • 获取数据库用户密码HASH,对于特定的数据库类型还可以进行密码强度测试
  • 获取数据库权限结构
  • 获取数据库版本详细信息
  • 获取数据库存储过程名称
  • 获取数据库安全相关的配置选项
  • 支持用户自行定制或者开发新的审计策略

渗透测试

  • WebRavor还提供了高效、可靠的渗透测试框架,可以根据需要自行定制渗透测试方法,在框架的支持下进行检测
  • 根据发现的弱点提供多种渗透测试策略
  • 将繁琐的工作简单化、公式化、流程化
  • 可以自行扩展,支持任何复杂的策略逻辑关系定义
  • 为一些实例,目前提供了一些常见的测试手段和0—Day

报告生成和数据导出

  • WebRavor提供强大的报告支持,报告的内容和格式都可以自行定义,以适应不同的受众
  • WebRavor的报告模板可以采用可视化工具自行设计和编辑,可以满足用户的不同需要
  • 完善的中、英文版本。支持DOC、HTML
  • 评估数据可以用CSV和XML格式导出,方便为第三方系统提供数据的接口支持

友好的用户界面

  • 复杂的功能简化为简单的Click
  • 无需改变用户使用习惯,正常使用中即可进行扫描
  • 支持中文、英文两种界面,可扩展
  • 基于XML框架设计,用户可以制定和规划任何复杂的审计或者渗透策略,并形成策略链关系

SDK及其他

  • 基于WebRavor还可以很容易地对应用系统进行全面的人工辅助分析
  • 某些类型的数据库密码提供强度检测
  • 恶意网页检测
  • CGI脚本检测
  • 基于函数级别的SDK,方便用户轻松实现功能无限扩展

产品特点

  • 更准确——准确的弱点扫描,误报率接近于“0”
  • 更快速——高速的扫描引擎,速度为同类产品的6—30倍
  • 更智能——自动过滤大量重复页面,智能预测和分析
  • 更直观——可视化的报告模板设计,可自行设计报告风格
  • 更自动——具有批量和定时扫描功能,降低人员工作成本