哲想软件 图 、网站漏洞扫描、漏洞扫描

升级Acunetix网络漏洞扫描器

在升级之前推荐备份设置，升级Acunetix网络漏洞扫描器到较的新版本：

1.  

关闭所有Acunetix网络漏洞扫描器的窗口（以及相关的工具，比如报告器）

2.  

可选择性的备份登录序列，如果你想要在新版本中使用这些，根据版本，这些可以从此处复制 用于版本7

或者更老版本， 用于更新版本。

3.  

如果你想要在新版本中使用，漏洞扫描，有选择性的备份报告数据。如果你正在访问数据库，默认数据库的位置是< C:﹨Program

Files (x86)﹨Acunetix﹨Web Vulnerability Scanner X﹨Data﹨Database﹨vulnscanresults.mdb>

4.  

从Acunetix网络漏洞扫描程序组，选择卸载产品。

5.    

安装新版本的Acunetix网络漏洞扫描器。

6.    

恢复登录序列，复制（2）中备份的文件到

7.    如果从版本7升级，网站漏洞扫描，在新版本中使用报告数据库的之前，需要升级。可以用报告数据库升级工具完成

操作如下:

○    

如果你正在使用SQL 数据库，选择MS SQL Server，指明需要升级的服务器，证书和数据库，点击转换按钮。然后用升级的数据库设置新版本的Acunetix网络漏洞扫描器。

屏幕截图 ­升级报告数据库

○    

如果你正在使用Access database， 选择 MS Access， 选择在（3）中备份的数据库，点击转换按钮。一旦准备好，复制升级的数据库到

安装 AcuSensor

通过改进爬行、检测和漏洞报告，Acunetix AcuSensor 提升了Acunetix扫描的效率，降低了错误率。Acunetix AcuSensor 可以用在.NET 和 PHP网络应用程序。

安装AcuSensor Agent

注意：安装AcuSensor Agent是可选的。Acunetix网络漏洞扫描器还是行业中较的好的“黑盒子”扫描器，但是AcuSensor Agent提高了扫描.NET 和 PHP漏洞结果的准确性。

*特的Acunetix AcuSensor技术比黑盒子网络应用程序扫描器识别的漏洞更完整，并且错误率更低。并且，它显示检测到漏洞代码的准确位置，并报告漏洞信息。

Acunetix AcuSensor需要在网站上安装一个代理。这个代理是出于安全原因专门为网站生成的。

生成AcuSensor文件

首先，需要生成你自己的AcuSensor文件，操作如下：

1.  

如果使用Acunetix WVS，打开Acunetix WVS，导航到‘Configuration > Application Settings’节点。点击‘AcuSensor Deployment’节点。

屏幕截图 – AcuSensor 部署设置节点

2. 如果使用Acunetix 在线漏洞扫描器，你可以从扫描目标设置生成AcuSensor文件。从 Acunetix OVS改为Scan Targets > List Scan Targets > 点击扫描目标名称，跳到步骤6。

3.  

输入密码，或者点击挂锁图标任意生成一个AcuSensor问价的特殊密码。

4.  

选择 'Also set password in currently selected

settings template（在目前选定的设置模板中设置密码）'存储密码到特定的扫描设置模板。

5.     指的定AcuSensor文件生成的路径。

6.    

选择是否生成PHP 网站或者是.NET网站的文件。

7.    

点击Generate AcuSensor Installation Files（生成AcuSensor）安装文件生成文件。

8.  

取决于你是否正在使用ASP .NET 或者 PHP网站，遵循以下步骤安装AcuSensor文件。

扫描报告的结构如何？结构是否可自定义（结构不是指扫描报告的LOGO，而是具体内容）？

回答：首先，先从扫描结果开始解释（这是较的先出现的）。这些结果显示在扫描器中，用户可以从这里查看扫描结果。用户也可以使用手动工具继续进行额外的测试。扫描结果可以被输出为XML并由其他应用使用。

从扫描结果中，用户可以生成报告，报告可以被用于更高的管理人员，开发者或者甚至法律顾问（例如PCI 或 ISO27001）。这些报告可以被输出为多种形式，包括PDF和RTF。

扫描结果可以被Acunetix扫描器加载。扫描结果的XML概要可以被用来输入扫描结果到其他的质量保证SDLC以及项目管理系统中，例如DenimGroup's Threadfix。

如果有人了解XML格局，报告是人们可读的，可以被自定义的报告。

咨询版允许Logo的变化，报告是多种形式的:

                     PDF  = Export Adobe pdf file

                     RTF  = Export richtext file

                     HTML = Export html file

                     REP  = Export report preview in WVS format

可用的报告模板

WVSAffectedItemsReport.rep

WVSComplianceReport.rep

WVSDeveloperReport.rep

WVSExecutiveReport.rep

WVSQuickReport.rep

WVSScanCompare.rep

WVSVulnGroupTrends.rep

可用的合规报告

CWE.xml

CWE_2011.xml

 HIPAA.xml

ISO_27001.xml

NIST_SP800_53.xml

OWASP_Top_10_2010.xml

OWASP_Top_10_2013.xml

PCI20.xml

Sarbanes_Oxley.xml

STIG_DISA.xml

WASC_Threat_Classification.xml

附件：

Acunetix与其他的网站应用扫描器的对比

By Joshua Giordimaina

Acunetix再一次被确认为网站应用扫描中的*，对反射的跨站脚本和资料隐码攻击具有**的探测准确性以及0%的误报率，网站漏洞扫描工具，在WIVET评估中的分数遥遥领的先。

在2013/2014网站应用漏洞扫描器基准中，信息安全研究员，分析者，工具作家和发言人Shay Chen比较了63中不同的网站应用扫描器。

这些应用测试了6种不同攻击向量的1413种漏洞测试，每一个测试案例模拟可能存在应用中不同的*特情景。

Acunetix与其他网站应用扫描器相比如何呢？

WIVET较的高得分94%

Acunetix在WIVET（Web InputVector Extractor Teaser）中获得较的高分94%。WIVET是测量扫描器爬行应用能力，测试扫描器通过呈现包含链接，参数和爬行过程应该放置和提取的输入交付方式的一些挑战的一个项目。

(source: sectooladdict.blogspot.ro)网站应用扫描器的WIVET分数

**的探测准确性和0%的误报

正如下面的表格显示的，Acunetix网站漏洞扫描器获得了反射跨站脚本和资料隐码攻击漏洞**的探测准确性和0%的误报率。扫描器拥有所有测试的0%的误报率。

商业/SAAS软件即服务扫描器反射跨站脚本探测准确性

商业/SAAS软件资料隐码攻击的探测准确性

旧文件/备份/无引用文件的探测准确性较的高分

Acunetix在商业/SAAS软件即服务扫描器对旧文件/备份/无引用文件的探测获得了较的高分。“非常普遍的暴露就可以导致源代码和配置被盗窃。”

这是一个非常重要的向量。这个暴露也是作为测试作家本身的一个基准。“这些暴露被个人人利用下载银行，电商网站，漏洞扫描，和信的用卡公司的整个源代码，获得连接字符串和来自废弃源代码段和配置文件的硬编码证书，以及其他应用不擅长的很*暴露的本地众多隐藏切入点。”

(source: sectooladdict.blogspot.ro)

旧文件/备份/无引用文件的探测准确性

认证，控制和连接性能

Acunetix网站漏洞扫描V9也在认证和可用性能比较中表现得非常好，这是扫描器对广泛网站和网站应用技术的支持能力的一个标志。

(source: sectooladdict.blogspot.ro)

认证，控制和连接性能比较

其他测试

Acunetix在其他的测试中也表现地很好，并由我们的团结进行研究以进行进一步地开发，包括路径穿越/本地文件包含探测，射频干扰探测，计算审计功能和扫描适应性。

对于Acunetix用户这些结果意味着什么？