Академический Документы
Профессиональный Документы
Культура Документы
escáner
La información contenida en este documento está sujeta a cambios sin previo aviso. Las empresas, nombres y
los datos utilizados en los ejemplos son ficticios a menos que se indique lo contrario. Ninguna parte de este documento puede ser
reproducida o transmitida en cualquier forma o por cualquier medio, electrónico o mecánico, para cualquier propósito, sin el
permiso expreso por escrito de Acunetix Ltd.
Acunetix Online Scanner es la vulnerabilidad de los derechos de autor Acunetix Ltd. 2004-2015. Acunetix Ltd. Todos los
derechos reservados.
http://www.acunetix.com
info@acunetix.com
Tabla de contenido
● Introducción
● Visión general
● Registro y Evaluación
● Configuración de objetos de análisis
● Instalación AcuSensor
● El lanzamiento de exploraciones
● Generación de informes
● Informes Acunetix
● Configuración de cuentas infantiles
más, los piratas informáticos están concentrando sus esfuerzos en aplicaciones basados en internet - carritos de la compra, formularios, páginas de
acceso, contenido dinámico, etc. accesible 24/7 desde cualquier parte del mundo, las aplicaciones web inseguras facilitan el acceso a bases de datos
corporativas de back-end y también permiten a los piratas informáticos para llevar a cabo actividades ilegales que utilizan los sitios atacados. la página
web de una víctima puede ser utilizado para poner en marcha actividades delictivas como el alojamiento de sitios de phishing o para transferir contenido
ilícito, mientras que abusar de ancho de banda de la página web y hacer su propietario responsables de estos actos ilegales.
Los hackers ya cuentan con un amplio repertorio de ataques que lanzan regularmente contra las organizaciones incluyendo la
inyección de SQL, Cross Site Scripting, ataques de salto de directorio, manipulación de parámetros (por ejemplo, URL, galleta, las
cabeceras HTTP, formularios web), los ataques de autenticación, enumeración de directorios y otros ataques .
La comunidad de hackers también es muy closeknit; intrusiones de aplicaciones web recientemente descubiertos, conocidos como
explota el día cero, se publican en una serie de foros y sitios web conocidos sólo a los miembros de ese grupo clandestino exclusiva.
Publicaciones se actualizan diariamente y se utilizan para propagar y facilitar aún más la piratería.
Las aplicaciones Web - carritos de compra, formularios, páginas de inicio de sesión, el contenido dinámico, y otras aplicaciones a medida - están
diseñados para permitir a sus visitantes del sitio web para recuperar y presentar contenido dinámico que incluye diferentes niveles de datos
personales y sensibles.
Si estas aplicaciones web no son seguras, a continuación, toda la base de datos de información sensible está en grave riesgo. Un estudio
de Gartner Group revela que el 75% de los ataques cibernéticos se realiza a nivel de aplicación web.
● Sitios web y aplicaciones web son fácilmente disponibles a través de Internet 24 horas al día, 7 días a la semana a los clientes,
● Los cortafuegos y SSL no proporcionan protección contra la piratería de aplicaciones web, simplemente porque el acceso a
● aplicaciones web a menudo tienen acceso directo a los datos de back-end, tales como bases de datos de clientes.
● La mayoría de las aplicaciones web son custommade y, por lo tanto, implican un menor grado de las pruebas de
offtheshelf software. En consecuencia, las aplicaciones personalizadas son más susceptibles al ataque.
● Varios ataques de piratas informáticos de alto perfil han demostrado que la seguridad de las aplicaciones web son los más
críticos. Si se ven comprometidos sus aplicaciones web, los hackers tendrán acceso completo a los datos de back-end a pesar
de que el servidor de seguridad está configurado correctamente y su sistema operativo y las aplicaciones se parcheado en
varias ocasiones.
● defensa de seguridad de red no proporciona ninguna protección contra los ataques de aplicaciones Web ya que éstas se ponen en
marcha en el puerto 80, que tiene que permanecer abierto para permitir regulares
funcionamiento de la empresa. Por tanto, es imprescindible que usted forma regular y constante auditar sus aplicaciones web
en busca de vulnerabilidades explotables.
Manual de auditoría de vulnerabilidades de todas sus aplicaciones web es complejo y requiere mucho tiempo, ya que generalmente implica el
procesamiento de un gran volumen de datos. También exige un alto nivel de experiencia y la capacidad para realizar un seguimiento de los
volúmenes considerables de código utilizado en una aplicación web. Además, los hackers están en constante búsqueda de nuevas formas de
explotar su aplicación web, lo que significa que tendría que supervisar constantemente las comunidades de seguridad, y encontrar nuevas
escaneo de vulnerabilidades automatizado le permite centrarse en la tarea desafiante ya la construcción de una aplicación web. Un
escáner de aplicaciones web automatizado está siempre a la búsqueda de nuevas vías de ataque que los hackers pueden utilizar para
En cuestión de minutos, un escáner automatizado aplicación web puede escanear su aplicación web, identificar todos los archivos accesibles a
través de Internet y simular actividad de los hackers con el fin de identificar los componentes vulnerables.
Además, un analizador de vulnerabilidades automatizado también se puede utilizar para evaluar el código que constituye una aplicación web,
lo que le permite identificar vulnerabilidades potenciales que podrían no ser evidentes a través de Internet, pero todavía existen en la
Acunetix Web Vulnerability escáner ofrece una solución fuerte y única para el análisis de offtheshelf y aplicaciones web
2. Si Acunetix AcuSensor Tecnología está activado, el sensor recuperará una lista de todos los archivos presentes en el directorio
de la aplicación web y añadir los archivos que no se encuentran por el rastreador para la salida rastreador. Tales archivos
por lo general no son descubiertos por el rastreador ya que no son accesibles desde el servidor web, o no vinculados a
través de la página web. Acunetix AcuSensor también analiza los archivos que no son accesibles a través de Internet, tales
como web.config.
3. Después de que el proceso de rastreo, el Vulnerability Scanner WEB inicia automáticamente una serie de comprobaciones de
seguridad que se encuentran en cada página, en esencia, emulando a un usuario remoto. Acunetix Web Vulnerability escáner
también analiza cada página para lugares donde se puede introducir datos, y posteriormente intenta todas las diferentes
combinaciones de entrada. Esta es la etapa de exploración automatizada. Si la tecnología AcuSensor está activada, una serie de
comprobaciones de seguridad adicionales se ponen en marcha en contra de la página web. Más información sobre AcuSensor se
Resultados de escaneo de pantalla
4. Las vulnerabilidades identificadas se muestran en los resultados del análisis. Cada alerta de vulnerabilidad contiene información
acerca de la vulnerabilidad como datos POST de segunda mano, elemento afectado, la respuesta HTTP del servidor y más.
se enumeran los detalles 5. Si se utiliza AcuSensor Tecnología como el código fuente número de línea, seguimiento de la pila o una
consulta SQL afectados que conducen a la vulnerabilidad. También se muestran las recomendaciones sobre cómo solucionar la
vulnerabilidad.
6. Varios informes pueden ser generados en las exploraciones realizados, incluidas informe Resumen Ejecutivo, informe
desarrollador y varios informes de cumplimiento, tales como PCI o ISO 270001.
AcuSensor pantalla identifica vulnerabilidades en el código
La mayor precisión, disponible para aplicaciones web PHP y .NET, se consigue mediante la combinación de técnicas de caja de
exploración negro con retroalimentación de los sensores colocados dentro del código fuente. escaneo cuadro negro no sabe cómo se
comporta la aplicación y analizadores de código fuente no entienden cómo la aplicación se comportará mientras está siendo atacado.
tecnología AcuSensor combina las dos técnicas para lograr resultados significativamente mejores que el uso de analizadores de
Los sensores AcuSensor se pueden insertar en el código .NET y PHP transparente. El código fuente .NET no es
● Le permite localizar y corregir la vulnerabilidad más rápido debido a la capacidad de proporcionar más información acerca de la
vulnerabilidad, como la fuente de código de número de línea, seguimiento de la pila, consulta SQL afectados, etc.
● Reduce significativamente los falsos positivos cuando se explora un sitio web porque entiende el comportamiento de la
aplicación web mejor.
● le advierte de problemas de configuración de aplicaciones web que pueden resultar en una aplicación vulnerable o exponer
información sensible. Por ejemplo, si '' errores personalizados están habilitadas en
servidor web.
● Detecta más vulnerabilidades de inyección SQL. vulnerabilidades de inyección Anteriormente SQL sólo podían encontrarse si
se informó de errores de base de datos, mientras que ahora el código fuente puede ser analizada para mejorar la detección.
● Capacidad para detectar vulnerabilidades de inyección SQL en todas las sentencias SQL, incluyendo en las instrucciones INSERT de
SQL. El uso de un escáner cuadro negro tales vulnerabilidades de inyección SQL no se puede encontrar. Esto aumenta
● Descubre todos los archivos presentes y accesibles a través del servidor web. Si un atacante obtiene acceso a la
página web y crea un archivo de puerta trasera en el directorio de la aplicación, el archivo se encuentra y se escanea
cuando se utiliza la tecnología AcuSensor y se le avisará.
● AcuSensor La tecnología es capaz de interceptar todas las entradas de aplicaciones web y crear una lista completa
con todas las posibles entradas en la página web y probarlos.
● No hay necesidad de escribir reglas de reescritura de URL cuando se escanea aplicaciones web que utilizan los motores de
búsqueda de URL! Utilizando la tecnología AcuSensor el escáner es capaz de reescribir SEO URL sobre la marcha.
● Capacidad para la prueba de creación de archivos y supresión vulnerabilidades arbitrarias. Por ejemplo, a través de un script
vulnerable a un usuario malintencionado puede crear un archivo en el directorio de aplicaciones web y ejecutarlo para tener acceso
● Capacidad para probar para la inyección de correo electrónico. Por ejemplo, un usuario malintencionado puede añadir información adicional,
tal como una lista o receptores o información adicional para el cuerpo del mensaje de un formulario web vulnerables, spam a un gran número de
seguridad de red se señalarán los servicios que se ejecutan en el servidor de escaneado mediante la ejecución de un escaneo de puertos en el
el servidor.
El análisis de vulnerabilidades de red evalúa la seguridad de los protocolos populares, tales como FTP, DNS, SMTP, IMAP, POP3,
SSH, Telnet y SNMP. Además de las pruebas de contraseñas débiles o por defecto, Acunetix También comprobará si hay una mala
configuración de los servicios detectados que podrían conducir a un fallo de seguridad. Acunetix también verificará que cualquier otro
servidor que se ejecutan en la máquina no están utilizando cualquier protocolo en desuso. Todo ello conduce a un sistema inseguro, lo
Acunetix línea Vulnerability Scanner (OVS) también se integra el escáner de red OpenVAS populares para comprobar si hay más de
35.000 vulnerabilidades de la red. Durante una exploración de la red, Acunetix OVS hace uso de diversas técnicas de OS fingerprinting
puerto de sondeo y para identificar un gran número de dispositivos, sistemas operativos y productos de servidor. Numerosos controles de
seguridad son entonces lanzados contra los productos identificados que se ejecutan en el servidor de escaneado, lo que le permite
vulnerabilidades de Internet y de red en sus sitios web Internetfacing, aplicaciones web y otros servidores
Interfaz de usuario de pantalla Acunetix WVS
Tablero
El tablero de instrumentos proporciona una visión general de la seguridad de sus objetos de análisis. A partir de aquí, se puede comprobar
fácilmente:
Cuando empiece a usar Acunetix OVS, se le mostrará el Asistente de introducción en lugar del tablero de instrumentos.
Los objetivos de exploración
Captura de pantalla de escaneo lista de destinos Aquí es donde puede configurar los servidores que le gustaría Acunetix OVS para escanear. A partir de
los objetivos de análisis desplegable, puede agregar objetos de análisis, una lista de todos sus objetos de análisis y configuración de escaneo
grupos objetivo.
Aquí es donde se puede iniciar exploraciones contra sus objetivos de análisis. Scan puede ser configurado para ocurrir inmediatamente o
programada para comenzar en una fecha posterior. Exploraciones también se pueden configurar para que aparezca en una base regular (por
Resultados de escaneo de pantalla Puede ver sus exploraciones de las exploraciones desplegable. Aquí puede controlar el estado de sus
exploraciones actuales, ver los resultados del análisis y las alertas para las exploraciones que se han completado y generar informes para
Informes guardados de pantalla Los informes pueden ser generados a partir de los informes desplegable también. Todos los informes se
Perfil
Aquí puede ver y editar sus datos de usuario. También puede solicitar que los datos de su cuenta hayan sido verificados por
un representante Acunetix esto es necesario antes de poder iniciar los análisis de red en sus objetivos de análisis.
Registro
En primer lugar, es necesario registrarse con Acunetix OVS antes de poder iniciar exploraciones en ejecución. Si no se ha
registrado, visita
http://www.acunetix.com/vulnerabilityscanner/registeronlinevulnerabilityscanner/ para empezar el ensayo. Asegúrese de que
sus datos son correctos ya que necesitaremos estos detalles en la revisión manual de su registro. Leer y aceptar las
condiciones del servicio y haga clic en el botón 'Registrarse' cuando haya terminado.
Un correo electrónico de confirmación será enviado a la dirección de correo electrónico proporcionada. Haga clic en el enlace del correo
electrónico, para completar su registro. En esta etapa, se le pedirá una contraseña que debe tener al menos 8 caracteres, y contienen 3 de
los siguientes - un número, una letra minúscula, una letra mayúscula y un carácter especial (por ejemplo, @! # $%).
Importante: Todos los registros son revisados manualmente. los análisis de red de perímetro sólo se hacen disponibles para las cuentas
● Puede iniciar hasta 2 LIMITED busca Web en contra de estos objetivos de análisis. Se le notificará de las
vulnerabilidades detectadas, pero los detalles, asesoramiento remediación y PDF informes no estará disponible.
Puede descargar el informes Web de muestra .
También puede ejecutar análisis web y la red completa, mediante la configuración de 2 de los siguientes sitios de prueba Acunetix como
● http://testphp.vulnweb.com
● http://testasp.vulnweb.com
● http://testaspnet.vulnweb.com
● http://testhtml5.vulnweb.com
Iniciar sesión
Acunetix pantalla OVS la pantalla de conexión
Puede conectarse a Acunetix OVS de https://ovs.acunetix.com . Utilice la dirección de correo electrónico y la contraseña que
proporcionó durante el registro para iniciar sesión en su cuenta de la vulnerabilidad Acunetix escáner en línea.
Configuración de objetos de análisis
Los objetivos de exploración son la web y los servidores perimetrales que desea escanear con Acunetix OVS. Estos tendrán que
ser configurado en Acunetix OVS antes de que puedan ser escaneados. Una vez configurado, el objetivo del análisis puede ser
● Objetivos de análisis Web - aquí es donde se alojan sus aplicaciones en la web y web. Ambos análisis de
vulnerabilidades de red y Web pueden ser lanzados contra este tipo de objetos de análisis.
● Objetivos perímetro de la red de escaneado tales como el firewall, router, servidor de correo, servidor DNS,
etc; - Son objetivos que aloja ningún otro tipo de servicio expuestos en Internet escanean
Todos los objetos de análisis se pueden configurar desde el menú '' objetivos de análisis. La configuración de los objetivos de la Red y de
escaneado Web es muy similar, y sólo se diferencian en la información proporcionada para fines de autenticación. Proceder de la siguiente
Objetivo del Análisis opción de pantalla Añadir
2. Proporcionar un nombre que le permitirá identificar fácilmente este objetivo del análisis. También tiene la opción de proporcionar
Captura de pantalla Configuración de Escanear detalles del objetivo
3. Introducir la URL de la página web o una aplicación web, o la IP del servidor que desea escanear.
4. Las opciones específicas Configurar Web y / o de red (que se explica en la siguiente sección).
5. Haga clic en 'Agregar destino de escaneo' cuando haya terminado.
Verificación Objetivo del Análisis Propiedad
Una vez que se crea un nuevo objeto de análisis, se le pedirá para verificar la propiedad de la que se analizarán. la verificación de
escaneo del objetivo dependerá del tipo de análisis que tiene la intención de lanzar contra el objetivo del análisis.
En resumen, los análisis de vulnerabilidades web requieren el archivo de verificación única para estar presente en la raíz del servidor web antes
de iniciar una exploración. Esto es necesario para todos sus objetos de análisis frente a las que se desee ejecutar exploraciones web.
escaneos de vulnerabilidades de red requieren que verifiquemos detalles de su cuenta; un proceso de una sola vez, donde usted será
Captura de pantalla Escanear objetivo requiere verificación
1. Para los análisis de red que necesitará para verificar la autenticidad de los datos de su cuenta y solicitar la
verificación de datos de su cuenta por un representante Acunetix.
2. Desde el interior de la configuración de su objetivo de análisis, en el escáner de red Verificación, haga clic en 'proceder a
3. Confirmar que los datos de su cuenta son correctos, y actualizar según sea necesario.
Captura de pantalla Verificar detalles de la cuenta
6. Una vez que los datos de su cuenta han sido verificados, puede iniciar escaneos de vulnerabilidades de red de todos sus objetos
de análisis.
Contacte con nosotros en support@acunetix.com si necesita ayuda con el proceso de verificación.
Nota: Cuando se enumeran los objetivos de análisis, la columna Estado indicará el estado de verificación de cada escaneo del
objetivo configurado. Esto le permitirá identificar fácilmente los que todavía tienen que ser verificadas.
En la configuración de escaneado servidor web, puede configurar los ajustes de autenticación necesarios para acceder a áreas
restringidas dentro del sitio web. También puede generar un agente AcuSensor único para su escaneo del objetivo.
Si el nuevo objetivo del análisis es una aplicación web o un sitio web, puede que tenga que analizar las zonas restringidas dentro de la
aplicación web. La información utilizada para acceder a la zona restringida se puede configurar desde las opciones de escaneo del servidor
En la mayoría de los casos, se puede seleccionar el uso de 'Inicio de sesión automatizado (para aplicaciones web sencillas)'. Usted sólo tendrá
que proporcionar el nombre de usuario y contraseña para acceder al área restringida. El escáner detectará automáticamente el enlace de
Formbased pantalla de autenticación por medio de sesión grabador de secuencias
Para más aplicaciones web complejas, que podrían estar utilizando un mecanismo de acceso más elaborado, que tendría que descargar
y utilizar la grabadora de sesión de secuencia para crear un archivo de sesión de secuencia (* .loginseq). Esto puede ser subido y
se guarda con la configuración de Búsqueda en la Red de destino. La información sobre cómo utilizar la grabadora de sesión de
AcuSensor mejora los resultados del análisis proporcionados por Acunetix OVS por ser capaz de identificar todas las páginas
en su sitio web, aumenta la información sobre las vulnerabilidades detectadas y disminuye los falsos positivos.
NOTA: Instalación del agente AcuSensor es opcional. Acunetix Web Vulnerability Scanner es aún mejor en su clase como un
escáner de “recuadro negro”, pero el Agente AcuSensor mejora la precisión y la vulnerabilidad resultados.
La única Acunetix AcuSensor Tecnología identifica más vulnerabilidades que un negro cuadro de escáner de aplicaciones Web
mientras que la generación de menos falsos positivos. Además, indica exactamente dónde se detectan vulnerabilidades en el
para su sitio web por razones de seguridad. Acunetix AcuSensor se puede utilizar con las aplicaciones web PHP y
.NET.
La generación de los archivos AcuSensor
1. Desde dentro de la configuración del objeto de análisis, desplácese hasta Configuración de la exploración Web.
Captura de pantalla Generar archivos AcuSensor
Usted también puede configurar las credenciales SSH para su escaneo del objetivo. Esto permitirá que el escáner de red OVS
Acunetix para proporcionar un enfoque más amplio análisis de red de la que se analizarán.
Nota : credenciales SSH son opcionales. Si no se proporcionan credenciales SSH, un escaneo completo de la red todavía se puede hacer
En primer lugar tendrá que generar sus archivos AcuSensor únicas. Proceder de la siguiente:
1. Si está utilizando Acunetix WVS, abierta Acunetix WVS y vaya a la 'Configuración> Configuración de la aplicación'
nodo. Haga clic sobre el nodo 'AcuSensor implantarlo'.
Captura de pantalla - AcuSensor despliegue de configuración del nodo
2. Si se utiliza Acunetix línea Vulnerability Scanner, puede generar los archivos de configuración de AcuSensor el objetivo del
análisis. De Acunetix OVS, cambiar escanear Objetivos> Objetivos lista de exploración> Haga clic en el nombre del objetivo
del análisis. Pase al paso 6.
3. Introduzca una contraseña o haga clic en el icono de candado para generar aleatoriamente una contraseña única para el archivo
AcuSensor.
4. Seleccione 'también establecer una contraseña en la configuración de la plantilla seleccionada en ese momento' para almacenar la
5. Especifique la ruta en la que desea que los archivos AcuSensor que se generen.
6. Seleccione si desea generar archivos para un sitio web o un sitio web PHP .NET.
7. Haga clic en Generar archivos de instalación AcuSensor para generar los archivos.
8. En función de si se está utilizando un ASP .NET o un sitio web PHP, utilice uno de los siguientes procedimientos
para instalar los archivos AcuSensor.
Instalación del agente de AcuSensor para los sitios web ASP .NET
tendrá que ser instalado en su aplicación web El agente AcuSensor. En esta sección se describe cómo instalar AcuSensor
en una aplicación Web ASP.NET.
1. Instalar los requisitos previos en el servidor que aloja el sitio web: El instalador AcuSensor
aplicación requiere Microsoft .NET Framework 3.5 o superior.
Activar pantalla de IIS 6 Compatibilidad con la metabase en Windows 2008
En Windows 2008, también debe instalar IIS 6 Compatibilidad con la metabase de 'Panel de control> activar Windows o desactivar las
características> Funciones> Servidor Web (IIS)> Herramientas de administración> administración de IIS 6 Compatibilidad> IIS 6
Compatibilidad con la metabase' para habilitar la lista de todos aplicaciones .NET que se ejecutan en el servidor.
2. Los archivos de instalación copia el AcuSensor al servidor que aloja el sitio Web .NET.
Captura de pantalla - Instalación Acunetix .NET AcuSensor Agente
3. Haga doble clic setup.exe para instalar el agente Acunetix .NET AcuSensor y especifique la
ruta de instalación. La aplicación se inicia automáticamente una vez que la instalación esté lista. Si la aplicación no está
configurado para iniciarse automáticamente, haga clic en Acunetix .NET AcuSensor Tecnología inyector en el menú de
grupo de programas.
Captura de pantalla - Acunetix .NET Agente Tecnología AcuSensor
4. En el inicio, la tecnología de instalación Acunetix .NET AcuSensor recuperará una lista de
. NET instalado en su servidor. Seleccionar las aplicaciones que desea inyectar con AcuSensor Tecnología y
seleccione la versión marco del menú desplegable. Haga clic en inyectar seleccionada para inyectar el código
AcuSensor la Tecnología en las aplicaciones .NET seleccionados. Una vez que se inyectan archivos, cierre la ventana de
confirmación y también la tecnología de inyector AcuSensor. Nota: El instalador AcuSensor intentará detectar
automáticamente la versión del marco .NET usada para desarrollar la aplicación web por lo que no tiene que especificar
manualmente qué versión del marco se utilizó en el menú desplegable de destino en tiempo de ejecución.
En esta sección se describe cómo instalar AcuSensor en una aplicación Web ASP.NET.
1. Busque el archivo PHP AcuSensor de la página web que desea instalar en AcuSensor. Copia el acu_phpaspect.php
presentar al servidor web remoto que aloja la aplicación web.
El archivo de agente de AcuSensor debe estar en un lugar en el que se puede acceder por el software de servidor web.
Acunetix AcuSensor Tecnología trabaja en los sitios web con PHP versión 5 en adelante.
2. Hay 2 métodos para instalar el agente AcuSensor, un método puede ser utilizado para servidores Apache, y el otro
método se pueden utilizar tanto para los servidores IIS y Apache.
'/Sensor/acu_phpaspect.php'. Si Apache no se ejecuta. .htaccess archivos, se deben configurar para hacerlo. Consulte la
el nodo AcuSensor.
2. Introduzca la contraseña del archivo del agente AcuSensor que se copia en el sitio web de destino.
3. Haga clic AcuSensor instalación de prueba en una URL específica. Un cuadro de diálogo le pedirá a
enviar la URL del sitio web de destino donde se instala el archivo AcuSensor agente. Introduzca la URL deseada y haga
clic DE ACUERDO.
1. Utilice el procedimiento descrito en la siguiente sección para deshabilitar y desinstalar el agente AcuSensor.
Seleccionar pantalla sitio web y haga clic en Seleccionado Uninject
3. Seleccione el sitio Web donde está instalado el agente AcuSensor y haga clic en 'Uninject' para eliminar el agente
AcuSensor desde el sitio.
4. Cierre AcuSensorInjector.exe
5. En el mismo directorio, haga doble clic uninstall.exe para desinstalar los archivos AcuSensor agente.
Nota: Si desinstala el Acunetix .NET AcuSensor Tecnología inyector sin uninjecting la aplicación .NET, el código
Captura de pantalla Digitalizar un objetivo
4. A continuación, se le pedirá que seleccione el tipo de análisis que desea realizar. Por ejemplo, si sólo se necesita un
escáner de red, seleccione 'No Búsqueda en la Red' en la lista 'Perfil de Análisis Web', y seleccione uno de los
perfiles de escaneo en la lista de 'Exploración de red Perfil'. Compruebe la sección Perfiles de Análisis para más
información.
5. Opcionalmente, puede tener un informe generado de forma automática después de la exploración haya terminado.
6. Por último, haga clic en el botón 'Lanzamiento Buscar' para tener su exploración (s) en cola. Usted será llevado a la lista de
todas las exploraciones, que le permite controlar el progreso de los análisis solicitados. notas :
1. Analiza sólo puede iniciarse en contra de sus objetivos de análisis después de que hayan sido verificados. Compruebe la sección
puede ser que necesite ponerse en contacto con usted para realizar una verificación adicional.
2. Se recomienda poner en marcha las dos exploraciones web y de red contra un sitio web.
3. En algunos análisis, en especial las que se realizan en los grandes sitios web pueden tardar mucho tiempo en completarse. Se le
4. Todos nuestros escáneres son lanzados desde 'scanners.acunetix.com'. Se recomienda que la lista blanca este alojamiento en el
servidor de seguridad. Si esto no se hace, el firewall puede bloquear todas las conexiones realizadas por Acunetix OVS, que
5. Si lanza varias exploraciones contra el mismo objetivo de análisis, al mismo tiempo, Acunetix OVS pondrá en cola las exploraciones
de forma que sólo una exploración se ejecuta a la vez. Esto se hace para evitar la sobrecarga del servidor de escaneado de las
solicitudes.
Perfiles de Análisis
UNA Perfil de Análisis es una agrupación lógica de cheques que Acunetix OVS realiza para buscar una categoría específica de
vulnerabilidades (tales como CrossSite Scripting, SQL Injection, CSRF, etc.). A continuación se muestra una lista de perfiles de análisis
Utilice el perfil completo de exploración para iniciar una exploración utilizando todos los controles disponibles en OVS Acunetix.
El perfil de análisis Alertas de alto riesgo sólo comprueba si las vulnerabilidades más peligrosos de Internet.
● Inyección SQL
El perfil de análisis de inyección de SQL sólo se comprobará si hay vulnerabilidades de inyección SQL.
Las contraseñas débiles Perfil de Análisis identificarán formas que acepten un nombre de usuario y contraseña y
atacarán a estas formas.
● CrossSite Falsificación de Petición (CSRF)
El perfil de análisis CSRF sólo comprueba las vulnerabilidades de falsificación de petición CrossSite.
Este perfil de análisis se puede utilizar para la mayoría de los análisis de red. Se llevará a cabo un análisis completo, pero evita ejecutar
Use este perfil de análisis a realizar un análisis más exhaustivo, incluyendo los controles invasivos disponibles en OVS
Acunetix. Idealmente, ejecutar exploraciones que utilizan este perfil de análisis justo antes de introducirlo en el servidor de
producción, o durante las horas offpeak.
Las exploraciones realizadas utilizando este perfil de análisis puede dificultar el rendimiento del objetivo del análisis, y también podría causar
Resultados de escaneo pantalla
Una vez finalizado el análisis, Acunetix OVS le enviará un correo electrónico con un resumen de los resultados y un enlace que le
permite acceder directamente a los resultados del análisis. Los resultados del análisis muestran la fecha de inicio y final de la
exploración, la duración de la exploración y todas las alertas que han sido identificados durante la exploración. El logotipo AcuSensor
también se muestra cuando la exploración detecta y hace uso de AcuSensor durante una exploración web.
análisis durante el análisis. Dependiendo del tipo de exploración, estos pueden ser tanto Alertas web o alertas de red, y las alertas se
Alto Riesgo nivel de alerta 3 - Vulnerabilidades clasificados como los más peligrosos, que puso el objetivo de análisis de riesgo
máximo para la piratería y el robo de datos.
Riesgo medio nivel de alerta 2 - vulnerabilidades causadas por errores de configuración del servidor y sitecoding defectos,
Riesgo Bajo Nivel de alerta 1 - Las vulnerabilidades derivadas de la falta de encriptación del tráfico de datos o directorio de ruta
revelaciones.
Alerta Informativo - Estos son los elementos que se han descubierto durante una exploración y que se consideren de interés, por
ejemplo, la posible revelación de una dirección IP interna o la dirección de correo electrónico, o hacer coincidir una cadena de búsqueda
que se encuentra en la base de datos de Google Hacking, o información sobre un servicio que se ha descubierto durante la
exploración.
Dependiendo del tipo de vulnerabilidad, información adicional sobre la vulnerabilidad se muestra cuando se hace clic en un
nodo de la categoría de alerta:
● Descripción de la vulnerabilidad Una descripción de la vulnerabilidad descubierta.
● elementos afectados La lista de archivos o componentes que se ven afectados por la alerta.
● El impacto de esta vulnerabilidad - El nivel de impacto en el servidor web, servidor web o perímetro si
esta vulnerabilidad se explota.
● detalles del ataque Los detalles sobre los parámetros y variables que se utilizan para probar esta vulnerabilidad.
Por ejemplo, a una alerta de Cross Site Scripting, el nombre de la variable de entrada explotados y la cadena se
establece en se mostrarán. También puede encontrar la petición HTTP enviada al servidor web y la respuesta
devuelta por el servidor web (incluyendo la respuesta HTML).
entender y solucionarlo.
Agrupación de vulnerabilidades
Captura de pantalla - Agrupación de vulnerabilidades
Si se detecta el mismo tipo de vulnerabilidad en varias páginas, el escáner agruparlos bajo un mismo nodo de alerta.
Expandiendo el nodo de alerta revelará todas las páginas vulnerables. Ampliar aún más para ver los parámetros vulnerables
de la página seleccionada.
de cabecera de correo electrónico, y ciertos tipos de FRSS, XXE y ataques de encabezado de host. AcuMonitor sólo puede detectar
algunas de estas vulnerabilidades después de finalizado el análisis. Cuando esto sucede, AcuMonitor actualizará los resultados del
análisis con las nuevas vulnerabilidades detectadas y recibirá un correo electrónico que le notifica que los resultados del análisis
han sido actualizados. Más información sobre AcuMontor se puede encontrar en
https://www.acunetix.com/websitesecurity/acumonitornextgenerationwebvulnerabilitysc anning / .
Generación de informes
Captura generar un informe Una vez finalizada la exploración, se puede generar un informe para la exploración. Proceder de la
siguiente:
1. Al revisar los resultados de una exploración, puede seleccionar 'Generar informe' para que la exploración específica.
'Actualizar' para comprobar si el informe está listo para descargar. Los informes están disponibles generalmente en menos de 10
segundos.
También puede generar informes a granel a través de 'Informes'> 'Generar informes'. A continuación se le presentará con una lista de
todos los datos escaneados. Seleccionar las exploraciones que le gustaría informar, elegir el formato de informe, el tipo de informe y
exploración. El informe pone de manifiesto la gravedad de la vulnerabilidad detectada, junto con otros detalles acerca de cómo se
ha detectado la vulnerabilidad.
programador Informar
descubiertas por Acunetix Web Vulnerability Scanner. El informe proporciona información sobre los archivos que tienen un tiempo de
respuesta larga, una lista de enlaces externos, direcciones de correo electrónico, secuencias de comandos de cliente y los servidores
externos, junto con ejemplos de remediación y recomendaciones de buenas prácticas para la fijación de las vulnerabilidades.
Reporte ejecutivo
Informe rápido
Disponibilidad: OVS
El Informe de seguridad de red proporciona información detallada acerca de la seguridad del servidor de red perimetral
escaneado por Vulnerability Scanner Acunetix en línea. Esta información es muy útil para un auditor de seguridad de red o
probador de la pluma que se encarga de analizar la seguridad de la red perimetral.
Informes de cumplimiento
Los informes de cumplimiento están disponibles para los siguientes órganos y normas de cumplimiento:
http://cwe.mitre.org/top25/ .
empresas, instituciones educativas y los investigadores de seguridad. OWASP es conocido por su trabajo en seguridad web,
específicamente a través de su lista de los principales riesgos de seguridad 10 para evitar la Web. Este informe muestra que de las
Sarbanes-Oxley
Las vulnerabilidades que se detectan durante una exploración que podría conducir a una ruptura en las secciones de la Ley se enumeran
en este informe.
WVS
El informe de comparación Scan permite al usuario realizar un seguimiento de los cambios entre dos resultados de la exploración para
la misma aplicación. Este informe destacará resuelto, vulnerabilidades sin cambios y nuevos, lo que facilita el seguimiento de los
Disponibilidad: WVS
Este informe estadístico correlaciona los datos de los análisis realizados en un mes específico, e informes sobre las
vulnerabilidades identificadas durante ese mes.
utilizando cuentas secundarias. Estas cuentas secundarias son Acunetix OVS usuarios que pueden darse permisos para crear objetos
de análisis, escanearlos o informar sobre ellos, todo a través de su cuenta de root. La cuenta original conserva el control sobre qué
Nota: Esta función sólo está disponible para usuarios con licencia.
2. Haga clic en el botón Crear para crear un usuario nuevo niño en su cuenta
3. Inserte la dirección de correo electrónico, nombre y apellido del niño nueva cuenta.
4. Seleccione el papel para el nuevo usuario. Roles cuenta infantil se ha explicado anteriormente.
5. Haga clic en Crear para crear el nuevo usuario
6. Después de crear el usuario, tendrá que permisos a objetos de análisis específicos o escanear grupos objetivo.
También puede optar por dar acceso a todos los objetos de análisis en su cuenta (teniendo en cuenta el rol
seleccionado por el usuario)
7. Haga clic en Actualizar después de configurar el acceso a los objetos de análisis.
notas
● Cuando un usuario se le da acceso a todos los objetos de análisis, el usuario mantendrá el acceso a todos los nuevos objetos de análisis
● Cuando un usuario se le da acceso a un grupo objetivo de escaneado, el usuario será mantener el acceso a los objetos de análisis que se
agregan al grupo objetivo de exploración a partir de entonces. Del mismo modo, la
usuario perderá el acceso a los objetos de análisis que se elimina del grupo que se analizarán.
● Administradores de tecnología pueden crear nuevos objetos de análisis y que puedan decidir para añadirlos a Escanear
Puede administrar todas sus cuentas secundarias de la opción Usuarios. A partir de aquí, se puede revisar al instante los roles
asignados a cada usuario. También se puede dar acceso a todos los objetos de análisis a los usuarios individuales, Desactivar usuarios
La cuenta principal puede auditar todas las acciones realizadas por todas las cuentas secundarias. Esto se puede hacer desde el
registro de actividad, la cual se puede acceder desde el menú Cuenta. cuentas infantiles tendrán acceso a un registro de actividades
similares, sin embargo, esto sólo mostrará las actividades que han afectados.
El registro de actividad puede ser filtrada por el usuario, el tipo de registro y la gravedad.
Solución de problemas y soporte
Manual de usuario
Las consultas más comunes pueden ser respondidas mediante la consulta de este manual del usuario.
Preguntas frecuentes
Nuestro equipo de soporte mantiene una lista de preguntas más frecuentes en
http://www.acunetix.com/support/faq/ .
Acunetix Blog
Es muy recomendable que sigue nuestro blog de seguridad de la navegación a:
http://www.acunetix.com/blog/ .
Pedir soporte
Si se encuentra con problemas persistentes que no se puede resolver, le recomendamos que contacte con el equipo Acunetix Soporte por
correo electrónico a support@acunetix.com . Por favor, incluya cualquier información que considere que es útil para ayudar a diagnosticar la
incidencia, tales como información sobre las tecnologías web que se utiliza, capturas de pantalla que muestra el problema, etc Por favor,
Haremos todo lo posible para responder a su pregunta en 24 horas o menos, dependiendo de su zona horaria.
También puede explorar la base de conocimientos Acunetix y otras opciones de soporte de la navegación a:
http://www.acunetix.com/support/.
http://www.facebook.com/Acunetix .