智恒科技网站安全应用扫描系统
具有高性能,高稳定性和高并发等优势
立即使用
产品介绍

WebPecker网站啄木鸟是专门针对Web应用程序安全性而开发的专业的漏洞检测系统。研发团队核心成员均来自于国外知名安全公司,在吸取国外领先的检测算法技术基础上,针对Web应用程序漏洞扫描关键技术和技术难点进行了深入的分析和研究,并取得了一系列突破性进步。在支持的Web应用漏洞种类、爬虫能力、认证扫描、漏报率、误报率和重报率等各项关键指标等方面, WebPecker与业界同类产品相比,在国内甚至国际上都具有绝对领先优势。

WebPecker全面支持 OWASP TOP 10和WASC等国际权威标准,同时系统基于Linux平台开发,不受windows版权限制,真正做到安全自主可控,相比国内绝大多数web扫描系统具有高性能,高稳定性和高并发等优势。

系统适用于:政府、电信、能源、教育、医疗企事业单位等各个领域。

核心优势
  • 0day漏洞检测能力

    这是判别web扫描器价值最关键的标准。

    在web安全(网站安全)上,通常涉及3个层次的漏洞:操作系统漏洞、web服务组件漏洞和web应用漏洞。传统市面上大多数web扫描器只是依赖公开漏洞库,检测的都是已知漏洞,已知漏洞只要通过打补丁方式即可,并没有太多意义。而WebPecker不依赖公开漏洞库,检测的是未知的Web应用漏洞。web应用漏洞,是web应用的开发人员在编码过程中引入的漏洞,属于web应用自身的漏洞,这种漏洞危害巨大,往往会造成严重影响,甚至造成不可挽回的经济损失。经过与国内、国际同类知名产品在该检测能力进行严格比对,WebPecker的0day检测能力处于领导者地位。

  • 卓越的网站捕获技术

    网站捕获技术通常指网站爬行能力,这是衡量web扫描器能力重要指标之一,卓越的网站爬行能力是防止漏报的基本保障。wivet是用来评估网站爬行能力的国际基准。国际知名、在国内拥有最广泛客户群体的 Acunetix WVS和IBM AppScan针对wivet的爬行覆盖率是92%,国内传统web扫描器覆盖率通常不足75%,而WebPecker针对wivet爬行覆盖率达到了95%以上。

  • 超强的认证扫描技术

    认证扫描是深度准确挖掘漏报的前提,鉴于网站认证功能实现技术的多样性和复杂性,强大的认证目扫描能力需要支持多种认证方式,传统web扫描器并不支持复杂的认证扫描,扫描结果通常比较简单,没有太大参考价值。

    WebPecker的认证扫描能力是国内唯一真正支持登录表单自动识别和认证技术的网站漏洞扫描系统;在基于session认证扫描方面,是唯一真正支持自动化捕获session的产品。

  • XSS漏洞深度检测方面具备较高的准确度和超强的漏洞验证能力

    XSS漏洞是 OWASP排名第二的漏洞,具危害性不言而喻。它包括反射型XSS、DOM XSS和存储型XSS漏洞等多个类型。多年来,业内同类产品普遍采用传统的基于模式匹配的检测算法,该算法存在严重的误报。

    在反射型XSS、 DOM XSS检测方面,实现了业界独有的零误报率算法;XSS漏洞检测能力主要体现在能真正识别存储型XSS检测技术,不仅有很好的检出率,而且误报率为0;

    传统的漏洞验证通常需要具备较强的专业知识,这种人员通常较少,在漏洞验证方面WebPecker是国际和国内目前唯一能够通过弹框快照等方式证实漏洞确实存在的产品,漏洞验证操作简单易用,这也大大的降低了报告噪音。

  • 优越的安全性和高并发性能

    WebPecker基于Linux系统架构,因此具有Linux系统先天的安全性、性能和高并发优势。传统大多数扫描器基于Windows平台,稳定性较低,更不具备高并发能力,检测能力较弱,容易宕机。在自主可控方面,我们支持定制国产化的平台,也是目前市面上唯一支持国产化的web扫描器。

    WebPecker与传统人工渗透风险评估的对比
    WebPecker 系统
    系统内置了强大的扫描引擎以及几十位资深安全专家的经验,严格按照国际WASC以及OWASP漏洞标准执行;
    只要3000元就可以购买全年不间断扫描服务;
    中等规模的网站只需要几十分钟就可以检测完成,自动生成报告;
    人工渗透测试
    人工渗透测试的结果依赖于实际测试的人员水平高低,以及长期的研究经验,随机性较大,检测结果大多都不太理想;
    比较昂贵,每次检测都在万元以上;
    每次渗透测试包括验证,报告时间至少需要一周左右的时间;
    发展趋势

    目前基于SAAS模式的安全扫描服务模式,已经成为当下最主要的发展趋势,各大云服务提供厂商都提供了类似服务,只是专业性相对欠缺,检测结果不够准确,效率也比较低,并不能提供相关附加顾问服务,如购买专业的web漏洞扫描产品,则比较昂贵,产品库还需要不停的升级,大多漏洞库升级比较滞后,而WebPecker是实时后台自动升级,解决了用户常见的各种烦恼。

公司资质
相关案例
销售和支持
WebPecker产品价格
前2000名用户免费试用一个月!!!
功能 免费版 单次版 399.00元/次 专业版 3000.00元/年 企业版 5000.00元/年 高级版 40000.00元/年 软件版 198000.00元/套 硬件版2000型 298000.00元/套 高级硬件版5000型 1080000.00元/套
可添加域名 1个域名,一个月内免费 1个域名,不下载报告不扣费 3个域名 10个域名 100个域名 200个域名 200个域名 500个域名
漏洞扫描
子账号管理
统计报表
高级扫描
认证扫描
扫描器类型 共享扫描 共享扫描 共享扫描 共享扫描 共享扫描 远程指导自行安装 独立定制 独立定制
规则库升级 自动升级 自动升级 自动升级 自动升级 自动升级 一年规则库升级 一年规则库升级 三年规则库升级
通告

基于SAAS的web安全漏洞扫描系统,可以帮助对网络安全概念相对陌生的用户排除网站的安全隐患,提升安全性和网站的健壮性。

网站安全(即web安全)是目前广泛存在的而且比较严峻的问题,网站也是目前最主要的攻击对象。国内大多数网站,尤其是政府、高校、银行、券商、医院以及企事业单位的网站风险比较严峻。95%以上的用户都遭遇过网站被篡改或被插入恶意链接等安全事件,甚至大多数用户在遭受攻击相当长时间内不能发现。通常接到相关机构通报的时候为时已晚,有的造成大量经济损失,有的是被搜索引擎列入黑名单,严重的造成大量网站信息泄露,或被非法组织利用进行反动言论宣传。《网络安全法》要求所有单位必须维护好自身的网站安全,如严重的将触犯相关条款,会被严厉追责,目前已经有大量机构被罚款或相关人员接受了处分。
根据OWASP Top 10,十大安全漏洞是:
1) SQL Injection(SQL注入)
2) Cross Site Scripting(xss跨站脚本)
3) Broken Authentication and Session Management(身份验证和会话管理中断)
4) Insecure Direct Object References(不安全的直接对象引用)
5) Cross Site Request Forgery(跨站点请求伪造)
6) Security Misconfiguration(安全配置错误)
7) Insecure Cryptographic Storage(不安全的加密存储)
8) Failure to restrict URL Access(无法限制URL访问)
9) Insufficient Transport Layer Protection(传输层保护不足)
10) Unvalidated Redirects and Forwards(未经验证的重定向和转发)

以上漏洞常见于各大网站,且每秒钟都会有网站遭受各种攻击,网站的功能增加或架构调整,随着新的漏洞被曝光,会造成网站的风险时刻处于动态变化之中。因此,实时的掌握了解网站的漏洞隐患就显得尤为重要。

WebPecker网站漏洞扫描系统是国内最早商用的基于web安全扫描系统,智恒科技经过数十年左右的研发,目前已经升级到V7.0版本,新增了SAAS功能,便于用户使用和操作,也大大减少了用户投资。新版本覆盖了目前最新的漏洞库,增加了专业的辅助检测工具,在检测能力以及检测效率方面有了大幅度提升。

常见问题
1、如何汇款开票?
2、如何升级?
3、高级扫描功能如何操作?
4、WebPecker网站啄木鸟支持认证扫描吗?
5、验证扫描和认证扫描有什么区别?
6、对于登录页认证方式的站点扫描,普通用户级别、后台管理认证,这两种认证方式会不会对结果产生影响?
7、慢速扫描和快速扫描,哪个扫描的更准确?
8、如果同一个扫描对象,两次扫描结果有差别可能是什么原因引起的?
9、影响扫描结果的主要因素有哪些?
10、扫描出了非常非常多的开放端口
11、不能发送邮件通知
12、点击登录按钮,等20多秒的时间才能有反应(导航到下一个页面)
13、点击CaptureSession插件,弹出窗口内容显示连接错误或无法连接
14、浏览器不停地提示需要为8888端口开放授权
15、激活license失败
16、license未激活或过期
17、认证站点时,下载的webpecker.html验证文件上传到哪里?
1、如何汇款开票?

在我公司网站选择您要购买的产品,根据您购买产品的数量将货款总额及运费汇至如下:
户名:北京智恒网安科技有限公司
开户行:北京银行金运支行
帐号:01090843500120109111645
汇款备注您的单位名称及购买产品型号。
我们确认您的货款及运费到帐且无误后通过EMS/顺丰把您订购的产品及发票(开汇款全额)给您邮寄过去。
请注意,根据国家财务制度,发票抬头要与汇款帐户名称一致,因此如要开具单位抬头的发票,请以单位帐户汇款。如有不便,请及时与我公司商务联系(010-62217321)。

2、如何升级?

在线检测平台系统后台自动升级,购买软件版本以及硬件版本的需要留下邮箱,我们将定期自动发送升级包下载地址,如果服务到期,请提前购买规则库升级服务,以免影响您的正常使用。

3、高级扫描功能如何操作?

系统平台注册时的邮箱,我们会免费发送高级使用操作手册,如果是软件版本或硬件版本,我们会在附件中提供光盘,请仔细阅读光盘中的详细内容,如还有问题,请拨打我们的电话:010-62217321,或留下您的微信号,将有人员辅导您进行产品使用。

4、WebPecker网站啄木鸟支持认证扫描吗?

WebPecker网站啄木鸟支持多种认证扫描, 且支持多种认证扫描方式, 操作简单。

5、验证扫描和认证扫描有什么区别?

验证是验证域名身份,确定可以扫描,所有网站必须经过验证才可以扫描,否则会非常危险,国家会严格控制;认证扫描是指登陆页面的用户登陆后的扫描。

6、对于登录页认证方式的站点扫描,普通用户级别、后台管理认证,这两种认证方式会不会对结果产生影响?

普通用户和后台管理,访问的内容一般都是不一样的,所以漏洞扫描结果也是不一样的。

7、慢速扫描和快速扫描,哪个扫描的更准确?

理论上这两种速度扫描的结果是一样的。

8、同一个扫描对象,两次扫描结果有差别可能是什么原因引起的?

扫描结果同网速和性能都有关,网络不稳定,太快了容易丢包;还有可能是垃圾数据影响了扫描结果。

9、影响扫描结果的主要因素有哪些?

主要是网络稳定性、网站自己的安全策略(如WAF策略)、网站性能、网络带宽。

10、扫描出了非常非常多的开放端口

可能是用户网络存在蜜罐或反木马等安全设备,需要为扫描器配置宽松的安全策略。

11、不能发送邮件通知

  • 邮件服务器配置的问题,需要确认SMTP服务器的IP地址、端口、加密方法配置是否正确。
  • 发件箱自己的配置是否为了确保安全配置了特殊的属性。
  • 如果是以前可能发送,现在突然发送不了了,请重启扫瞄器试试。

  • 12、点击登录按钮,等20多秒的时间才能有反应(导航到下一个页面)

    域名解析错误,需要确认域名服务器配置是否正确。

    13、点击CaptureSession插件,弹出窗口内容显示连接错误或无法连接

    需要为扫瞄器放行8888端口,这个是插件使用的端口。

    14、浏览器不停地提示需要为8888端口开放授权

    重启浏览器即可。

    15、激活license失败

  • license证书的安装和有效性都和系统时间有关,请检查一下当前的系统时间是否正确。
  • 要确保网卡配置文件中的DEVICE=XXXXX值与ifcfg-XXXX文件名保持一致。

  • 16、license未激活或过期

  • 网卡是否更换。
  • cpu是否更换。

  • 17、认证站点时,下载的webpecker.html验证文件上传到哪里?

    上传到网站的发布目录即可。