Una vulnerabilidad en línea Manual del usuario del

escáner
       

  

    
                             La información contenida en este documento está sujeta a cambios sin previo aviso. Las empresas, nombres y 

los datos utilizados en los ejemplos son ficticios a menos que se indique lo contrario. Ninguna parte de este documento puede ser
reproducida o transmitida en cualquier forma o por cualquier medio, electrónico o mecánico, para cualquier propósito, sin el
permiso expreso por escrito de Acunetix Ltd.       

Acunetix Online Scanner es la vulnerabilidad de los derechos de autor Acunetix Ltd. 2004-2015. Acunetix Ltd. Todos los

derechos reservados. 

http://www.acunetix.com  
info@acunetix.com    

Versión del documento 4.0 Última actualización: 2º

de marzo de el año 2015   

 
Tabla de contenido
 

● Introducción
● Visión general

● Registro y Evaluación
● Configuración de objetos de análisis

● Instalación AcuSensor
● El lanzamiento de exploraciones

● Analizando Resultados del análisis

● Generación de informes

● Informes Acunetix
● Configuración de cuentas infantiles

● Solución de problemas y soporte

  
Introducción a Acunetix Web Vulnerability Scanner

¿Por qué necesita para asegurar sus aplicaciones Web

seguridad del sitio web es pasado por alto aspecto más actual de asegurar una empresa y debe ser una prioridad en cualquier organización. Cada vez

más, los piratas informáticos están concentrando sus esfuerzos en aplicaciones basados ​en internet - carritos de la compra, formularios, páginas de

acceso, contenido dinámico, etc. accesible 24/7 desde cualquier parte del mundo, las aplicaciones web inseguras facilitan el acceso a bases de datos

corporativas de back-end y también permiten a los piratas informáticos para llevar a cabo actividades ilegales que utilizan los sitios atacados. la página

web de una víctima puede ser utilizado para poner en marcha actividades delictivas como el alojamiento de sitios de phishing o para transferir contenido

ilícito, mientras que abusar de ancho de banda de la página web y hacer su propietario responsables de estos actos ilegales. 

 Los hackers ya cuentan con un amplio repertorio de ataques que lanzan regularmente contra las organizaciones incluyendo la

inyección de SQL, Cross Site Scripting, ataques de salto de directorio, manipulación de parámetros (por ejemplo, URL, galleta, las

cabeceras HTTP, formularios web), los ataques de autenticación, enumeración de directorios y otros ataques .  

La comunidad de hackers también es muy closeknit; intrusiones de aplicaciones web recientemente descubiertos, conocidos como
explota el día cero, se publican en una serie de foros y sitios web conocidos sólo a los miembros de ese grupo clandestino exclusiva.
Publicaciones se actualizan diariamente y se utilizan para propagar y facilitar aún más la piratería. 

 Las aplicaciones Web - carritos de compra, formularios, páginas de inicio de sesión, el contenido dinámico, y otras aplicaciones a medida - están

diseñados para permitir a sus visitantes del sitio web para recuperar y presentar contenido dinámico que incluye diferentes niveles de datos

personales y sensibles. 

Si estas aplicaciones web no son seguras, a continuación, toda la base de datos de información sensible está en grave riesgo. Un estudio
de Gartner Group revela que el 75% de los ataques cibernéticos se realiza a nivel de aplicación web. 

 ¿Por qué son vulnerables aplicaciones web? 

● Sitios web y aplicaciones web son fácilmente disponibles a través de Internet 24 horas al día, 7 días a la semana a los clientes,

empleados, proveedores y por lo tanto también a los piratas informáticos. 

● Los cortafuegos y SSL no proporcionan protección contra la piratería de aplicaciones web, simplemente porque el acceso a

la página web tiene que ser hecha pública.  

● aplicaciones web a menudo tienen acceso directo a los datos de back-end, tales como bases de datos de clientes. 

● La mayoría de las aplicaciones web son custommade y, por lo tanto, implican un menor grado de las pruebas de
offtheshelf software. En consecuencia, las aplicaciones personalizadas son más susceptibles al ataque. 

● Varios ataques de piratas informáticos de alto perfil han demostrado que la seguridad de las aplicaciones web son los más

críticos. Si se ven comprometidos sus aplicaciones web, los hackers tendrán acceso completo a los datos de back-end a pesar

de que el servidor de seguridad está configurado correctamente y su sistema operativo y las aplicaciones se parcheado en

varias ocasiones. 

● defensa de seguridad de red no proporciona ninguna protección contra los ataques de aplicaciones Web ya que éstas se ponen en

marcha en el puerto 80, que tiene que permanecer abierto para permitir regulares 
 funcionamiento de la empresa. Por tanto, es imprescindible que usted forma regular y constante auditar sus aplicaciones web
en busca de vulnerabilidades explotables. 

La necesidad de análisis de seguridad de aplicaciones web automatizado

Manual de auditoría de vulnerabilidades de todas sus aplicaciones web es complejo y requiere mucho tiempo, ya que generalmente implica el

procesamiento de un gran volumen de datos. También exige un alto nivel de experiencia y la capacidad para realizar un seguimiento de los

volúmenes considerables de código utilizado en una aplicación web. Además, los hackers están en constante búsqueda de nuevas formas de

explotar su aplicación web, lo que significa que tendría que supervisar constantemente las comunidades de seguridad, y encontrar nuevas

vulnerabilidades en el código de aplicación web antes de piratas informáticos a descubrir. 

 escaneo de vulnerabilidades automatizado le permite centrarse en la tarea desafiante ya la construcción de una aplicación web. Un

escáner de aplicaciones web automatizado está siempre a la búsqueda de nuevas vías de ataque que los hackers pueden utilizar para

acceder a la aplicación web o los datos detrás de él. 

En cuestión de minutos, un escáner automatizado aplicación web puede escanear su aplicación web, identificar todos los archivos accesibles a

través de Internet y simular actividad de los hackers con el fin de identificar los componentes vulnerables. 

 Además, un analizador de vulnerabilidades automatizado también se puede utilizar para evaluar el código que constituye una aplicación web,

lo que le permite identificar vulnerabilidades potenciales que podrían no ser evidentes a través de Internet, pero todavía existen en la

aplicación web, y por lo tanto puede seguir siendo explotado. 

Acunetix Web Vulnerability Scanner

Acunetix Web Vulnerability Scanner es una herramienta de pruebas de seguridad de aplicaciones web automatizado que audita sus
aplicaciones web mediante la comprobación de vulnerabilidades como la inyección SQL, cross site scripting y otras vulnerabilidades
explotables. En general, Acunetix Web Vulnerability Scanner escanea cualquier sitio web o aplicación web que es accesible a través de un
navegador web y utiliza el protocolo HTTP / HTTPS. 

 Acunetix Web Vulnerability escáner ofrece una solución fuerte y única para el análisis de offtheshelf y aplicaciones web

personalizadas incluyendo los que utilizan JavaScript, AJAX y Web 

2.0 aplicaciones web. Acunetix tiene un rastreador avanzada que se puede encontrar casi cualquier archivo. Esto es importante ya que lo que no

se encuentra, no se puede comprobar. 

Cómo escáner funciona Acunetix Web Vulnerability

Acunetix Web Vulnerability escáner funciona de la siguiente manera: 
1. Acunetix DeepScan analiza todo el sitio web, siguiendo todos los enlaces en el sitio, incluyendo enlaces que se construyen
dinámicamente usando JavaScript, y enlaces que se encuentran en robots.txt y sitemap.xml (si está disponible). El
resultado es un mapa del sitio, que Acunetix Web Vulnerability Scanner utilizará para poner en marcha controles
específicos contra cada parte del sitio. 
  
Captura de pantalla de cadenas Resultados 

2. Si Acunetix AcuSensor Tecnología está activado, el sensor recuperará una lista de todos los archivos presentes en el directorio
de la aplicación web y añadir los archivos que no se encuentran por el rastreador para la salida rastreador. Tales archivos
por lo general no son descubiertos por el rastreador ya que no son accesibles desde el servidor web, o no vinculados a
través de la página web. Acunetix AcuSensor también analiza los archivos que no son accesibles a través de Internet, tales
como  web.config.  

3. Después de que el proceso de rastreo, el Vulnerability Scanner WEB inicia automáticamente una serie de comprobaciones de

seguridad que se encuentran en cada página, en esencia, emulando a un usuario remoto. Acunetix Web Vulnerability escáner

también analiza cada página para lugares donde se puede introducir datos, y posteriormente intenta todas las diferentes

combinaciones de entrada. Esta es la etapa de exploración automatizada. Si la tecnología AcuSensor está activada, una serie de

comprobaciones de seguridad adicionales se ponen en marcha en contra de la página web. Más información sobre AcuSensor se

proporciona en la sección siguiente. 

 
Resultados de escaneo de pantalla  
4. Las vulnerabilidades identificadas se muestran en los resultados del análisis. Cada alerta de vulnerabilidad contiene información

acerca de la vulnerabilidad como datos POST de segunda mano, elemento afectado, la respuesta HTTP del servidor y más.  

se enumeran los detalles 5. Si se utiliza AcuSensor Tecnología como el código fuente número de línea, seguimiento de la pila o una

consulta SQL afectados que conducen a la vulnerabilidad. También se muestran las recomendaciones sobre cómo solucionar la

vulnerabilidad. 
 6. Varios informes pueden ser generados en las exploraciones realizados, incluidas informe Resumen Ejecutivo, informe
desarrollador y varios informes de cumplimiento, tales como PCI o ISO 270001. 

Acunetix Tecnología AcuSensor

Tecnología única AcuSensor de Acunetix le permite identificar más vulnerabilidades que otros scanners de aplicaciones web,
mientras que la generación de menos falsos positivos. Acunetix AcuSensor indica exactamente dónde en el código de la
vulnerabilidad y los informes es la información de depuración adicional. 

 
AcuSensor pantalla identifica vulnerabilidades en el código 

 La mayor precisión, disponible para aplicaciones web PHP y .NET, se consigue mediante la combinación de técnicas de caja de

exploración negro con retroalimentación de los sensores colocados dentro del código fuente. escaneo cuadro negro no sabe cómo se

comporta la aplicación y analizadores de código fuente no entienden cómo la aplicación se comportará mientras está siendo atacado.

tecnología AcuSensor combina las dos técnicas para lograr resultados significativamente mejores que el uso de analizadores de

código fuente y de exploración cuadro negro de forma independiente. 

 Los sensores AcuSensor se pueden insertar en el código .NET y PHP transparente. El código fuente .NET no es

necesario; los sensores se pueden inyectar en .NET ya compilado 

aplicaciones! Por lo tanto no hay necesidad de instalar un compilador o obtener el código fuente de las aplicaciones web, que es una
gran ventaja cuando se utiliza una aplicación de terceros .NET. En caso de aplicaciones web PHP, la fuente está fácilmente
disponible. Hasta la fecha, Acunetix es el único Web Vulnerability Scanner para implementar esta tecnología. 

Ventajas del uso de la tecnología AcuSensor

● Capacidad de proporcionar más información acerca de la vulnerabilidad, como el código fuente de número de línea, seguimiento de la

pila, consulta SQL afectados. 

● Le permite localizar y corregir la vulnerabilidad más rápido debido a la capacidad de proporcionar más información acerca de la

vulnerabilidad, como la fuente de código de número de línea, seguimiento de la pila, consulta SQL afectados, etc. 

● Reduce significativamente los falsos positivos cuando se explora un sitio web porque entiende el comportamiento de la
aplicación web mejor. 
● le advierte de problemas de configuración de aplicaciones web que pueden resultar en una aplicación vulnerable o exponer

información sensible. Por ejemplo, si '' errores personalizados están habilitadas en 

. NET, esto podría exponer detalles de la aplicación sensibles a un usuario malicioso. 

● Le aconseja cómo asegurar mejor la configuración del servidor web, por ejemplo, si el acceso de escritura está activada en el

servidor web. 

● Detecta más vulnerabilidades de inyección SQL. vulnerabilidades de inyección Anteriormente SQL sólo podían encontrarse si

se informó de errores de base de datos, mientras que ahora el código fuente puede ser analizada para mejorar la detección. 

● Capacidad para detectar vulnerabilidades de inyección SQL en todas las sentencias SQL, incluyendo en las instrucciones INSERT de

SQL. El uso de un escáner cuadro negro tales vulnerabilidades de inyección SQL no se puede encontrar. Esto aumenta

significativamente la capacidad de Acunetix Web Vulnerability Scanner para encontrar vulnerabilidades. 

● Descubre todos los archivos presentes y accesibles a través del servidor web. Si un atacante obtiene acceso a la
página web y crea un archivo de puerta trasera en el directorio de la aplicación, el archivo se encuentra y se escanea
cuando se utiliza la tecnología AcuSensor y se le avisará. 

● AcuSensor La tecnología es capaz de interceptar todas las entradas de aplicaciones web y crear una lista completa
con todas las posibles entradas en la página web y probarlos. 
● No hay necesidad de escribir reglas de reescritura de URL cuando se escanea aplicaciones web que utilizan los motores de

búsqueda de URL! Utilizando la tecnología AcuSensor el escáner es capaz de reescribir SEO URL sobre la marcha. 

● Capacidad para la prueba de creación de archivos y supresión vulnerabilidades arbitrarias. Por ejemplo, a través de un script

vulnerable a un usuario malintencionado puede crear un archivo en el directorio de aplicaciones web y ejecutarlo para tener acceso

privilegiado o eliminar archivos de aplicaciones web sensibles. 

● Capacidad para probar para la inyección de correo electrónico. Por ejemplo, un usuario malintencionado puede añadir información adicional,

tal como una lista o receptores o información adicional para el cuerpo del mensaje de un formulario web vulnerables, spam a un gran número de

destinatarios de forma anónima.   

Red de Análisis de vulnerabilidades

Como parte de una auditoría de sitio web, Acunetix ejecutará una auditoría de seguridad de red del servidor que aloja el sitio web. Este análisis de

seguridad de red se señalarán los servicios que se ejecutan en el servidor de escaneado mediante la ejecución de un escaneo de puertos en el

sistema. Acunetix reportará el sistema operativo y 

el software de organización de los servicios detectados. Este proceso también identificará troyanos que pueden estar al acecho en

el servidor.  

 El análisis de vulnerabilidades de red evalúa la seguridad de los protocolos populares, tales como FTP, DNS, SMTP, IMAP, POP3,

SSH, Telnet y SNMP. Además de las pruebas de contraseñas débiles o por defecto, Acunetix También comprobará si hay una mala

configuración de los servicios detectados que podrían conducir a un fallo de seguridad. Acunetix también verificará que cualquier otro

servidor que se ejecutan en la máquina no están utilizando cualquier protocolo en desuso. Todo ello conduce a un sistema inseguro, lo

que permitiría a un intruso para dañar su sitio web y su reputación. 

 Acunetix línea Vulnerability Scanner (OVS) también se integra el escáner de red OpenVAS populares para comprobar si hay más de

35.000 vulnerabilidades de la red. Durante una exploración de la red, Acunetix OVS hace uso de diversas técnicas de OS fingerprinting

puerto de sondeo y para identificar un gran número de dispositivos, sistemas operativos y productos de servidor. Numerosos controles de

seguridad son entonces lanzados contra los productos identificados que se ejecutan en el servidor de escaneado, lo que le permite

detectar todas las vulnerabilidades que existen en los servidores perimetrales.   

Visión general
 Acunetix línea Vulnerability Scanner (OVS) es una solución altamente eficaz que le ayude a identificar las

vulnerabilidades de Internet y de red en sus sitios web Internetfacing, aplicaciones web y otros servidores

perimetrales. Acunetix OVS consta de los siguientes componentes:   

 
Interfaz de usuario de pantalla Acunetix WVS 

Tablero
El tablero de instrumentos proporciona una visión general de la seguridad de sus objetos de análisis. A partir de aquí, se puede comprobar

fácilmente: 

  ● el número de vulnerabilidades han sido detectados, agrupados por gravedad 

● el nivel de amenaza identificada para las exploraciones recientes 

● las vulnerabilidades que se identifican con mayor frecuencia 

● los anfitriones más vulnerables 
● exploraciones próximos 

 Cuando empiece a usar Acunetix OVS, se le mostrará el Asistente de introducción en lugar del tablero de instrumentos. 
Los objetivos de exploración

 
Captura de pantalla de escaneo lista de destinos    Aquí es donde puede configurar los servidores que le gustaría Acunetix OVS para escanear. A partir de

los objetivos de análisis desplegable, puede agregar objetos de análisis, una lista de todos sus objetos de análisis y configuración de escaneo

grupos objetivo. 

Las exploraciones de lanzamiento

Aquí es donde se puede iniciar exploraciones contra sus objetivos de análisis. Scan puede ser configurado para ocurrir inmediatamente o

programada para comenzar en una fecha posterior. Exploraciones también se pueden configurar para que aparezca en una base regular (por

ejemplo, cada semana o cada mes). 

exploraciones

 
Resultados de escaneo de pantalla    Puede ver sus exploraciones de las exploraciones desplegable. Aquí puede controlar el estado de sus

exploraciones actuales, ver los resultados del análisis y las alertas para las exploraciones que se han completado y generar informes para

sus exploraciones terminados.    

Informes
 

 
Informes guardados de pantalla    Los informes pueden ser generados a partir de los informes desplegable también. Todos los informes se

almacenan en su cuenta, y también se puede acceder desde la sección Informes. 

Perfil
Aquí puede ver y editar sus datos de usuario. También puede solicitar que los datos de su cuenta hayan sido verificados por

un representante Acunetix esto es necesario antes de poder iniciar los análisis de red en sus objetivos de análisis.    
Registro
En primer lugar, es necesario registrarse con Acunetix OVS antes de poder iniciar exploraciones en ejecución. Si no se ha
registrado, visita  
http://www.acunetix.com/vulnerabilityscanner/registeronlinevulnerabilityscanner/ ​  para empezar el ensayo. Asegúrese de que
sus datos son correctos ya que necesitaremos estos detalles en la revisión manual de su registro. Leer y aceptar las
condiciones del servicio y haga clic en el botón 'Registrarse' cuando haya terminado. 

Un correo electrónico de confirmación será enviado a la dirección de correo electrónico proporcionada. Haga clic en el enlace del correo

electrónico, para completar su registro. En esta etapa, se le pedirá una contraseña que debe tener al menos 8 caracteres, y contienen 3 de

los siguientes - un número, una letra minúscula, una letra mayúscula y un carácter especial (por ejemplo,  @! # $%). 

 Importante: Todos los registros son revisados ​manualmente. los análisis de red de perímetro sólo se hacen disponibles para las cuentas

en las que se confirmaron sus datos para ser correcta. 

Acunetix OVS Trial

Su Acunetix OVS prueba comienza en el momento de confirmar su registro de la cuenta. El ensayo Acunetix OVS es
prácticamente idéntica a la versión completa en funcionalidad y características, pero contiene las siguientes limitaciones: 

● La prueba expira en 14 días 

● Puede configurar hasta 2 destinos de análisis de su elección 
● Puede iniciar hasta 2 Red completa exploraciones en contra de estos objetivos de análisis 

● Puede iniciar hasta 2 LIMITED busca Web en contra de estos objetivos de análisis. Se le notificará de las
vulnerabilidades detectadas, pero los detalles, asesoramiento remediación y PDF informes no estará disponible.
Puede descargar el ​  informes Web de muestra ​ .  
 También puede ejecutar análisis web y la red completa, mediante la configuración de 2 de los siguientes sitios de prueba Acunetix como

objetos de análisis y ejecución de análisis en contra de ellos. 

● http://testphp.vulnweb.com  
● http://testasp.vulnweb.com  
● http://testaspnet.vulnweb.com  
● http://testhtml5.vulnweb.com  
Iniciar sesión

 
Acunetix pantalla OVS la pantalla de conexión 

 Puede conectarse a Acunetix OVS de ​  https://ovs.acunetix.com ​ .  Utilice la dirección de correo electrónico y la contraseña que

proporcionó durante el registro para iniciar sesión en su cuenta de la vulnerabilidad Acunetix escáner en línea.   
Configuración de objetos de análisis
 Los objetivos de exploración son la web y los servidores perimetrales que desea escanear con Acunetix OVS. Estos tendrán que

ser configurado en Acunetix OVS antes de que puedan ser escaneados. Una vez configurado, el objetivo del análisis puede ser

escaneado en repetidas ocasiones. 

 Hay dos tipos de objetos de análisis que se pueden configurar: 

● Objetivos de análisis Web ​  - aquí es donde se alojan sus aplicaciones en la web y web. Ambos análisis de
vulnerabilidades de red y Web pueden ser lanzados contra este tipo de objetos de análisis. 

● Objetivos perímetro de la red de escaneado ​  tales como el firewall, router, servidor de correo, servidor DNS,
etc; - Son objetivos que aloja ningún otro tipo de servicio expuestos en Internet escanean 

 Todos los objetos de análisis se pueden configurar desde el menú '' objetivos de análisis. La configuración de los objetivos de la Red y de

escaneado Web es muy similar, y sólo se diferencian en la información proporcionada para fines de autenticación. Proceder de la siguiente

manera para crear un nuevo objetivo de análisis:   

1. En el menú '' objetivos de análisis, seleccione 'Añadir Objeto de Análisis'. 

 
Objetivo del Análisis opción de pantalla Añadir 

2. Proporcionar un nombre que le permitirá identificar fácilmente este objetivo del análisis. También tiene la opción de proporcionar

una descripción del objetivo del análisis. 

 
Captura de pantalla Configuración de Escanear detalles del objetivo 

3. Introducir la URL de la página web o una aplicación web, o la IP del servidor que desea escanear. 

4. Las opciones específicas Configurar Web y / o de red (que se explica en la siguiente sección). 
5. Haga clic en 'Agregar destino de escaneo' cuando haya terminado. 
Verificación Objetivo del Análisis Propiedad

Una vez que se crea un nuevo objeto de análisis, se le pedirá para verificar la propiedad de la que se analizarán. la verificación de

escaneo del objetivo dependerá del tipo de análisis que tiene la intención de lanzar contra el objetivo del análisis.  

En resumen, los análisis de vulnerabilidades web requieren el archivo de verificación única para estar presente en la raíz del servidor web antes

de iniciar una exploración. Esto es necesario para todos sus objetos de análisis frente a las que se desee ejecutar exploraciones web.  

escaneos de vulnerabilidades de red requieren que verifiquemos detalles de su cuenta; un proceso de una sola vez, donde usted será

contactado por un miembro de nuestro equipo de soporte.    

 
Captura de pantalla Escanear objetivo requiere verificación 

Verificación Búsqueda en la Red

Web de verificación de exploración es un proceso de 3 pasos. 

1. Descarga el archivo de verificación único asignado a su nuevo objetivo del análisis. 

2. Sube el archivo de verificación a la raíz del sitio (mediante FTP por ejemplo).  
3. A partir de la configuración del objetivo de análisis en Acunetix OVS, haga clic en 'verificar la propiedad' para
completar el proceso de verificación. 
Nota: El archivo de verificación necesita ser mantenido en la raíz del sitio, ya que Acunetix OVS comprobará el archivo de
verificación cada vez que escanea el servidor. 
Verificación de escaneo de red

1. Para los análisis de red que necesitará para verificar la autenticidad de los datos de su cuenta y solicitar la
verificación de datos de su cuenta por un representante Acunetix. 
2. Desde el interior de la configuración de su objetivo de análisis, en el escáner de red Verificación, haga clic en 'proceder a

verificar más detalles', o puede ir directamente a Configuración de la cuenta> Perfil. 

3. Confirmar que los datos de su cuenta son correctos, y actualizar según sea necesario. 

 
Captura de pantalla Verificar detalles de la cuenta 

4. Dentro de la sección Verificación de la cuenta, puede solicitar la verificación de los datos de su

cuenta.  
5. Un representante de Acunetix se pondrá en contacto con usted dentro de 24 horas para completar la verificación. 

6. Una vez que los datos de su cuenta han sido verificados, puede iniciar escaneos de vulnerabilidades de red de todos sus objetos

de análisis. 

 Contacte con nosotros en  support@acunetix.com  si necesita ayuda con el proceso de verificación. 

 Nota: Cuando se enumeran los objetivos de análisis, la columna Estado indicará el estado de verificación de cada escaneo del

objetivo configurado. Esto le permitirá identificar fácilmente los que todavía tienen que ser verificadas. 

Web Server Configuración de escaneado

En la configuración de escaneado servidor web, puede configurar los ajustes de autenticación necesarios para acceder a áreas
restringidas dentro del sitio web. También puede generar un agente AcuSensor único para su escaneo del objetivo. 

Configuración de la autenticación del sitio Web

Si el nuevo objetivo del análisis es una aplicación web o un sitio web, puede que tenga que analizar las zonas restringidas dentro de la

aplicación web. La información utilizada para acceder a la zona restringida se puede configurar desde las opciones de escaneo del servidor

Web dentro de la configuración de la que se analizarán. 

  
Formbased pantalla de autenticación de sesión automatizado 

 En la mayoría de los casos, se puede seleccionar el uso de 'Inicio de sesión automatizado (para aplicaciones web sencillas)'. Usted sólo tendrá

que proporcionar el nombre de usuario y contraseña para acceder al área restringida. El escáner detectará automáticamente el enlace de

conexión, el enlace de desconexión y el mecanismo utilizado para mantener la sesión activa.   

 
Formbased pantalla de autenticación por medio de sesión grabador de secuencias 

 Para más aplicaciones web complejas, que podrían estar utilizando un mecanismo de acceso más elaborado, que tendría que ​  descargar

​  y utilizar la grabadora de sesión de secuencia para crear un archivo de sesión de secuencia (* .loginseq). Esto puede ser subido y

se guarda con la configuración de Búsqueda en la Red de destino. La información sobre cómo utilizar la grabadora de sesión de

secuencia se puede encontrar en ​  http://www.acunetix.com/blog/docs/acunetixwvsloginsequencerecorder/  

Generar e instalación AcuSensor

AcuSensor mejora los resultados del análisis proporcionados por Acunetix OVS por ser capaz de identificar todas las páginas
en su sitio web, aumenta la información sobre las vulnerabilidades detectadas y disminuye los falsos positivos.  

 NOTA: Instalación del agente AcuSensor es opcional. Acunetix Web Vulnerability Scanner es aún mejor en su clase como un

escáner de “recuadro negro”, pero el Agente AcuSensor mejora la precisión y la vulnerabilidad resultados. 

 La única Acunetix AcuSensor Tecnología identifica más vulnerabilidades que un negro cuadro de escáner de aplicaciones Web

mientras que la generación de menos falsos positivos. Además, indica exactamente dónde se detectan vulnerabilidades en el

código y también informa la información de depuración. 

 Acunetix AcuSensor requiere un agente para ser instalado en su sitio web. Este agente se genera de forma única

para su sitio web por razones de seguridad. Acunetix AcuSensor se puede utilizar con las aplicaciones web PHP y

.NET. 
La generación de los archivos AcuSensor

1. Desde dentro de la configuración del objeto de análisis, desplácese hasta Configuración de la exploración Web.  

 
Captura de pantalla Generar archivos AcuSensor 

2. En la sección AcuSensor, seleccione si se debe generar AcuSensor para PHP o .NET. 

3. Haga clic en el botón Generar. Se le pedirá para guardar los archivos AcuSensor. 
 Una vez que haya generado y descargado los archivos únicos AcuSensor para su aplicación web, se

puede proceder con  ​ AcuSensor instalar en su aplicación web ​ .    

Configuración de exploración de red del servidor

Usted también puede configurar las credenciales SSH para su escaneo del objetivo. Esto permitirá que el escáner de red OVS
Acunetix para proporcionar un enfoque más amplio análisis de red de la que se analizarán.  

Nota :  credenciales SSH son opcionales. Si no se proporcionan credenciales SSH, un escaneo completo de la red todavía se puede hacer

utilizando la misma información que un hacker tiene. 

Instalación AcuSensor
Acunetix AcuSensor aumenta la eficiencia de una exploración Acunetix mejorando el rastreo, la detección y presentación de informes
de vulnerabilidades, mientras que la disminución de los falsos positivos. Acunetix AcuSensor se puede utilizar en aplicaciones web
.NET y PHP.  

Instalación del agente AcuSensor

NOTA: Instalación del agente AcuSensor es opcional. Acunetix Web Vulnerability Scanner es aún mejor en su clase como un
escáner de “recuadro negro”, pero el Agente AcuSensor mejora la precisión y la vulnerabilidad se produce cuando se escanea
aplicaciones web .NET y PHP. 
La única Acunetix AcuSensor Tecnología identifica más vulnerabilidades que un negro cuadro de escáner de aplicaciones Web mientras
que la generación de menos falsos positivos. Además, indica exactamente dónde se detectan vulnerabilidades en el código y también
informa de la información de depuración 
 Acunetix AcuSensor requiere un agente para ser instalado en su sitio web. Este agente se genera de forma única

para su sitio web por razones de seguridad. 

La generación de los archivos AcuSensor

En primer lugar tendrá que generar sus archivos AcuSensor únicas. Proceder de la siguiente:   

1. Si está utilizando Acunetix WVS, abierta Acunetix WVS y vaya a la 'Configuración> Configuración de la aplicación'
nodo. Haga clic sobre el nodo 'AcuSensor implantarlo'. 

 
Captura de pantalla - AcuSensor despliegue de configuración del nodo 

2. Si se utiliza Acunetix línea Vulnerability Scanner, puede generar los archivos de configuración de AcuSensor el objetivo del
análisis. De Acunetix OVS, cambiar escanear Objetivos> Objetivos lista de exploración> Haga clic en el nombre del objetivo
del análisis. Pase al paso 6.  
3. Introduzca una contraseña o haga clic en el icono de candado para generar aleatoriamente una contraseña única para el archivo

AcuSensor. 

4. Seleccione 'también establecer una contraseña en la configuración de la plantilla seleccionada en ese momento' para almacenar la

contraseña especificada en la plantilla de configuración de exploración. 

5. Especifique la ruta en la que desea que los archivos AcuSensor que se generen. 
6. Seleccione si desea generar archivos para un sitio web o un sitio web PHP .NET. 
7. Haga clic en  Generar archivos de instalación AcuSensor  para generar los archivos. 
 8. En función de si se está utilizando un ASP .NET o un sitio web PHP, utilice uno de los siguientes procedimientos
para instalar los archivos AcuSensor. 

Instalación del agente de AcuSensor para los sitios web ASP .NET

tendrá que ser instalado en su aplicación web El agente AcuSensor. En esta sección se describe cómo instalar AcuSensor
en una aplicación Web ASP.NET.    

1. Instalar los requisitos previos en el servidor que aloja el sitio web:  El instalador AcuSensor 
aplicación requiere Microsoft .NET Framework 3.5 o superior. 

 
Activar pantalla de IIS 6 Compatibilidad con la metabase en Windows 2008  
En Windows 2008, también debe instalar IIS 6 Compatibilidad con la metabase de 'Panel de control> activar Windows o desactivar las

características> Funciones> Servidor Web (IIS)> Herramientas de administración> administración de IIS 6 Compatibilidad> IIS 6

Compatibilidad con la metabase' para habilitar la lista de todos aplicaciones .NET que se ejecutan en el servidor. 
 2. Los archivos de instalación copia el AcuSensor al servidor que aloja el sitio Web .NET. 

 
Captura de pantalla - Instalación Acunetix .NET AcuSensor Agente  
3. Haga doble clic  setup.exe  para instalar el agente Acunetix .NET AcuSensor y especifique la 
ruta de instalación. La aplicación se inicia automáticamente una vez que la instalación esté lista. Si la aplicación no está
configurado para iniciarse automáticamente, haga clic en  Acunetix .NET AcuSensor Tecnología inyector  en el menú de
grupo de programas. 

 
Captura de pantalla - Acunetix .NET Agente Tecnología AcuSensor 

4. En el inicio, la tecnología de instalación Acunetix .NET AcuSensor recuperará una lista de 
. NET instalado en su servidor. Seleccionar las aplicaciones que desea inyectar con AcuSensor Tecnología y
seleccione la versión marco del menú desplegable. Haga clic en  inyectar seleccionada  para inyectar el código

AcuSensor la Tecnología en las aplicaciones .NET seleccionados. Una vez que se inyectan archivos, cierre la ventana de

confirmación y también la tecnología de inyector AcuSensor.    Nota:  El instalador AcuSensor intentará detectar

automáticamente la versión del marco .NET usada para desarrollar la aplicación web por lo que no tiene que especificar

manualmente qué versión del marco se utilizó en el menú desplegable de destino en tiempo de ejecución.   

Instalación del agente de AcuSensor para los sitios web PHP

 En esta sección se describe cómo instalar AcuSensor en una aplicación Web ASP.NET.    

1. Busque el archivo PHP AcuSensor de la página web que desea instalar en AcuSensor. Copia el  acu_phpaspect.php
 presentar al servidor web remoto que aloja la aplicación web. 
 El archivo de agente de AcuSensor debe estar en un lugar en el que se puede acceder por el software de servidor web.
Acunetix AcuSensor Tecnología trabaja en los sitios web con PHP versión 5 en adelante. 

2. Hay 2 métodos para instalar el agente AcuSensor, un método puede ser utilizado para servidores Apache, y el otro
método se pueden utilizar tanto para los servidores IIS y Apache. 

Método 1: archivo .htaccess de Apache

Crear un archivo .htaccess en el directorio de sitios web y añadir la siguiente directiva:  

auto_prepend_file php_value '[ruta de archivo acu_phpaspect.php]'.   
 Nota:  Para Windows utilizar 'C: \ sensor \ acu_phpaspect.php' y para Linux utilizar formatos de declaración de ruta

'/Sensor/acu_phpaspect.php'. Si Apache no se ejecuta. .htaccess   archivos, se deben configurar para hacerlo. Consulte la

siguiente guía de configuración: 

http://httpd.apache.org/docs/2.0/howto/htaccess.html . La directiva anterior también se puede configurar en el  httpd.conf  expediente. 

Método 2: IIS y Apache php.ini

1. Busque el 'php.ini' archivo en el servidor mediante el uso de  phpinfo ()  función. 
2. Búsqueda de la directiva  auto_prepend_file,  y especificar la ruta de acceso al 
acu_phpaspect.php archivo. Si no existe la directiva, agregarlo en el archivo php.ini:    auto_prepend_file
=”[ruta de archivo acu_phpaspect.php]”  
3. Guarde todos los cambios y reiniciar el servidor web para que los cambios anteriores para tener efecto. 

Prueba de su Agente AcuSensor

Para probar si el agente AcuSensor está funcionando correctamente en el sitio web de destino, haga lo siguiente: 

1. En el  Herramientas Explorer,  Navegue a 'Configuración> Configuración de escaneo' nodo y seleccione 

el nodo AcuSensor. 
2. Introduzca la contraseña del archivo del agente AcuSensor que se copia en el sitio web de destino. 

3. Haga clic  AcuSensor instalación de prueba en una URL específica.  Un cuadro de diálogo le pedirá a 

enviar la URL del sitio web de destino donde se instala el archivo AcuSensor agente. Introduzca la URL deseada y haga
clic  DE ACUERDO.  

Cambio de la contraseña AcuSensor

Si necesita cambiar la contraseña utilizada por el agente AcuSensor en su sitio web, necesitará regenerar los
archivos AcuSensor y volver a instalar en su sitio web. Realice el siguiente si está utilizando una página web .NET: 

1. Utilice el procedimiento descrito en la siguiente sección para deshabilitar y desinstalar el agente AcuSensor. 

2. Configurar una nueva contraseña.  

Este paso se puede omitir si está utilizando Acunetix línea explorador de la vulnerabilidad, ya que una nueva contraseña
única y segura se genera de forma automática cada vez que se generan los archivos AcuSensor. La contraseña única se
almacena con la configuración de la que se analizarán. 

3. Haga clic en Generar archivos de instalación AcuSensor. 

4. Proceder con la instalación de los nuevos archivos AcuSensor. Si está utilizando una aplicación web PHP, usted sólo tendrá
que sobrescribir la antigua  acu_phpaspect.php  con el nuevo 
acu_phpaspect.php  expediente. 
Desactivación y desinstalar AcuSensor
Para desinstalar y desactivar el sensor de su sitio web: 

AcuSensor para los sitios web ASP .NET

1. Vaya al directorio de instalación donde se ha instalado el agente AcuSensor 

2. Abra AcuSensorInjector.exe. 

 
Seleccionar pantalla sitio web y haga clic en Seleccionado Uninject 

3. Seleccione el sitio Web donde está instalado el agente AcuSensor y haga clic en 'Uninject' para eliminar el agente
AcuSensor desde el sitio. 
4. Cierre AcuSensorInjector.exe 
5. En el mismo directorio, haga doble clic uninstall.exe para desinstalar los archivos AcuSensor agente. 

 Nota:  Si desinstala el Acunetix .NET AcuSensor Tecnología inyector sin uninjecting la aplicación .NET, el código

AcuSensor no será removido de su aplicación .NET. 

AcuSensor para PHP

1. Si se utilizó el método 1 (archivo .htaccess) para instalar el PHP AcuSensor, elimine la directiva:  auto_prepend_file
php_value =”[ruta de archivo acu_phpaspect.php]” 
desde .htaccess  
2. Si se utiliza el método 2 para instalar el PHP AcuSensor, elimine la directiva: 
auto_prepend_file =”[ruta de archivo acu_phpaspect.php]”  de php.ini. 
3. Por último, eliminar el archivo Acunetix AcuSensor PHP: acu_phpaspect.php. 
 Nota:  Aunque el agente Acunetix AcuSensor requiere autenticación, se recomienda que los archivos del cliente

AcuSensor se desinstalan y se eliminan de la aplicación web si ya no están en uso. 

El lanzamiento de exploraciones
 
Después de la configuración de los objetos de análisis, ya está listo para iniciar exploraciones para la web y de red vulnerabilidades. Esto puede

hacerse de la siguiente manera: 

1. A partir de Acunetix OVS, haga clic en 'Launch Scan'. 

2. Seleccione uno o más objetos de análisis que desea escanear. 

3. Haga clic en 'Buscar ahora'. También puede programar análisis seleccionando 'programar una exploración'. 

 
Captura de pantalla Digitalizar un objetivo 

4. A continuación, se le pedirá que seleccione el tipo de análisis que desea realizar. Por ejemplo, si sólo se necesita un
escáner de red, seleccione 'No Búsqueda en la Red' en la lista 'Perfil de Análisis Web', y seleccione uno de los
perfiles de escaneo en la lista de 'Exploración de red Perfil'. Compruebe la sección Perfiles de Análisis para más
información. 
5. Opcionalmente, puede tener un informe generado de forma automática después de la exploración haya terminado. 

6. Por último, haga clic en el botón 'Lanzamiento Buscar' para tener su exploración (s) en cola. Usted será llevado a la lista de

todas las exploraciones, que le permite controlar el progreso de los análisis solicitados.    notas :  
 1. Analiza sólo puede iniciarse en contra de sus objetivos de análisis después de que hayan sido verificados. Compruebe la sección

Verificación de la propiedad en el Objeto de Análisis  ​ Configuración de objetos de análisis ​ .Nosotros 

puede ser que necesite ponerse en contacto con usted para realizar una verificación adicional. 

2. Se recomienda poner en marcha las dos exploraciones web y de red contra un sitio web.  
3. En algunos análisis, en especial las que se realizan en los grandes sitios web pueden tardar mucho tiempo en completarse. Se le

notificará por correo electrónico cuando el análisis ha finalizado. 

4. Todos nuestros escáneres son lanzados desde 'scanners.acunetix.com'. Se recomienda que la lista blanca este alojamiento en el

servidor de seguridad. Si esto no se hace, el firewall puede bloquear todas las conexiones realizadas por Acunetix OVS, que

invalidan las exploraciones. 

5. Si lanza varias exploraciones contra el mismo objetivo de análisis, al mismo tiempo, Acunetix OVS pondrá en cola las exploraciones

de forma que sólo una exploración se ejecuta a la vez. Esto se hace para evitar la sobrecarga del servidor de escaneado de las

solicitudes. 

Perfiles de Análisis
UNA  ​ Perfil de Análisis ​  es una agrupación lógica de cheques que Acunetix OVS realiza para buscar una categoría específica de

vulnerabilidades (tales como CrossSite Scripting, SQL Injection, CSRF, etc.). A continuación se muestra una lista de perfiles de análisis

con una breve descripción de cada uno:   

Perfiles de Análisis Web

● Análisis completo 

Utilice el perfil completo de exploración para iniciar una exploración utilizando todos los controles disponibles en OVS Acunetix. 

● Alertas de Alto Riesgo 

El perfil de análisis Alertas de alto riesgo sólo comprueba si las vulnerabilidades más peligrosos de Internet. 

● CrossSite Scripting (XSS) 

El perfil de análisis XSS sólo se comprobará si hay vulnerabilidades de secuencias de comandos CrossSite. 

● Inyección SQL 
El perfil de análisis de inyección de SQL sólo se comprobará si hay vulnerabilidades de inyección SQL. 

● Las contraseñas débiles 

Las contraseñas débiles Perfil de Análisis identificarán formas que acepten un nombre de usuario y contraseña y
atacarán a estas formas. 
● CrossSite Falsificación de Petición (CSRF) 

El perfil de análisis CSRF sólo comprueba las vulnerabilidades de falsificación de petición CrossSite.   

Perfiles de Análisis de red

● Análisis completo (comprobaciones de seguridad) 

Este perfil de análisis se puede utilizar para la mayoría de los análisis de red. Se llevará a cabo un análisis completo, pero evita ejecutar

comprobaciones invasivos que pueden causar problemas con el servidor de escaneado. 

● Análisis completo (incl. Invasivos cheques) 

Use este perfil de análisis a realizar un análisis más exhaustivo, incluyendo los controles invasivos disponibles en OVS
Acunetix. Idealmente, ejecutar exploraciones que utilizan este perfil de análisis justo antes de introducirlo en el servidor de
producción, o durante las horas offpeak. 
 Las exploraciones realizadas utilizando este perfil de análisis puede dificultar el rendimiento del objetivo del análisis, y también podría causar

que se vaya fuera de línea.        

Resultados de escaneo de revisar
 

 
Resultados de escaneo pantalla 

 Una vez finalizado el análisis, Acunetix OVS le enviará un correo electrónico con un resumen de los resultados y un enlace que le

permite acceder directamente a los resultados del análisis. Los resultados del análisis muestran la fecha de inicio y final de la

exploración, la duración de la exploración y todas las alertas que han sido identificados durante la exploración. El logotipo AcuSensor

también se muestra cuando la exploración detecta y hace uso de AcuSensor durante una exploración web. 

Alertas (vulnerabilidades) descubiertos

Uno de los componentes clave de los resultados del análisis es la lista de todas las vulnerabilidades encontradas en el objeto de

análisis durante el análisis. Dependiendo del tipo de exploración, estos pueden ser tanto Alertas web o alertas de red, y las alertas se

clasifican de acuerdo con 4 niveles de gravedad: 

 
Alto Riesgo nivel de alerta 3 - Vulnerabilidades clasificados como los más peligrosos, que puso el objetivo de análisis de riesgo
máximo para la piratería y el robo de datos.   

 
Riesgo medio nivel de alerta 2 - vulnerabilidades causadas por errores de configuración del servidor y sitecoding defectos,

que facilitan la interrupción del servidor y la intrusión.    

 
Riesgo Bajo Nivel de alerta 1 - Las vulnerabilidades derivadas de la falta de encriptación del tráfico de datos o directorio de ruta

revelaciones. 
 

 
Alerta Informativo - Estos son los elementos que se han descubierto durante una exploración y que se consideren de interés, por

ejemplo, la posible revelación de una dirección IP interna o la dirección de correo electrónico, o hacer coincidir una cadena de búsqueda

que se encuentra en la base de datos de Google Hacking, o información sobre un servicio que se ha descubierto durante la

exploración.    

Dependiendo del tipo de vulnerabilidad, información adicional sobre la vulnerabilidad se muestra cuando se hace clic en un
nodo de la categoría de alerta: 
● Descripción de la vulnerabilidad ​  Una descripción de la vulnerabilidad descubierta. 
● elementos afectados  ​ La lista de archivos o componentes que se ven afectados por la alerta. 
● El impacto de esta vulnerabilidad ​  - El nivel de impacto en el servidor web, servidor web o perímetro si
esta vulnerabilidad se explota. 
● detalles del ataque ​  Los detalles sobre los parámetros y variables que se utilizan para probar esta vulnerabilidad.
Por ejemplo, a una alerta de Cross Site Scripting, el nombre de la variable de entrada explotados y la cadena se
establece en se mostrarán. También puede encontrar la petición HTTP enviada al servidor web y la respuesta
devuelta por el servidor web (incluyendo la respuesta HTML). 

● ¿Cómo solucionar esta vulnerabilidad  ​ Orientación sobre cómo solucionar la vulnerabilidad. 

● Información detallada  ​ Más información acerca de la vulnerabilidad reportada. 

● referencias web  ​ Una lista de enlaces a las webs que ofrecen más información sobre la vulnerabilidad para ayudar a

entender y solucionarlo.    
Agrupación de vulnerabilidades

 
Captura de pantalla - Agrupación de vulnerabilidades  

 Si se detecta el mismo tipo de vulnerabilidad en varias páginas, el escáner agruparlos bajo un mismo nodo de alerta.

Expandiendo el nodo de alerta revelará todas las páginas vulnerables. Ampliar aún más para ver los parámetros vulnerables

de la página seleccionada. 

Vulnerabilidades detectadas por AcuMonitor

Una exploración web Acunetix OVS hará uso de AcuMonitor para detectar ciertas vulnerabilidades tales como Blind XSS, inyección

de cabecera de correo electrónico, y ciertos tipos de FRSS, XXE y ataques de encabezado de host. AcuMonitor sólo puede detectar

algunas de estas vulnerabilidades después de finalizado el análisis. Cuando esto sucede, AcuMonitor actualizará los resultados del

análisis con las nuevas vulnerabilidades detectadas y recibirá un correo electrónico que le notifica que los resultados del análisis

han sido actualizados. Más información sobre AcuMontor se puede encontrar en 

https://www.acunetix.com/websitesecurity/acumonitornextgenerationwebvulnerabilitysc anning / ​ .     
Generación de informes
 

 
Captura generar un informe    Una vez finalizada la exploración, se puede generar un informe para la exploración. Proceder de la

siguiente:   

1. Al revisar los resultados de una exploración, puede seleccionar 'Generar informe' para que la exploración específica. 

2. Elija el formato de informe, que puede ser o bien PDF o RTF 

3. Seleccione el informe que desea generar. Los informes disponibles se describen  ​ aquí ​ .  

4. Haga clic en el botón 'Generar'.  

5. A continuación, será llevado a los informes guardados. El informe puede tardar unos segundos para generar. Haga clic en

'Actualizar' para comprobar si el informe está listo para descargar. Los informes están disponibles generalmente en menos de 10

segundos. 

 También puede generar informes a granel a través de 'Informes'> 'Generar informes'. A continuación se le presentará con una lista de

todos los datos escaneados. Seleccionar las exploraciones que le gustaría informar, elegir el formato de informe, el tipo de informe y

haga clic en 'Generar'.    

Informes Acunetix
 La siguiente es una lista de los informes que se pueden generar a partir de Acunetix Web Vulnerability Scanner (WVS) y el

explorador de la vulnerabilidad Acunetix línea (OVS): 

Los productos afectados Informe

Disponibilidad: OVS y WVS 

El informe de los elementos afectados se muestran los archivos y los lugares donde se han detectado vulnerabilidades durante una

exploración. El informe pone de manifiesto la gravedad de la vulnerabilidad detectada, junto con otros detalles acerca de cómo se

ha detectado la vulnerabilidad. 

programador Informar

Disponibilidad: OVS y WVS   

El Informe desarrollador está dirigido a desarrolladores que necesitan trabajar en el sitio web con el fin de hacer frente a las vulnerabilidades

descubiertas por Acunetix Web Vulnerability Scanner. El informe proporciona información sobre los archivos que tienen un tiempo de

respuesta larga, una lista de enlaces externos, direcciones de correo electrónico, secuencias de comandos de cliente y los servidores

externos, junto con ejemplos de remediación y recomendaciones de buenas prácticas para la fijación de las vulnerabilidades. 

Reporte ejecutivo

Disponibilidad: OVS y WVS 

El Informe Ejecutivo resume las vulnerabilidades detectadas en un sitio web y proporciona una visión clara del nivel de
gravedad de las vulnerabilidades encontradas en el sitio web. 

Informe rápido

Disponibilidad: OVS y WVS 

El informe rápido proporciona una lista detallada de todas las vulnerabilidades descubiertas durante el análisis. 

Informe de Seguridad de Red

Disponibilidad: OVS 
El Informe de seguridad de red proporciona información detallada acerca de la seguridad del servidor de red perimetral
escaneado por Vulnerability Scanner Acunetix en línea. Esta información es muy útil para un auditor de seguridad de red o
probador de la pluma que se encarga de analizar la seguridad de la red perimetral.  
Informes de cumplimiento

Captura de pantalla - Informe de cumplimiento de PCI 

 Los informes de cumplimiento están disponibles para los siguientes órganos y normas de cumplimiento: 

CWE / SANS - Los 25 errores de software más peligrosos

Disponibilidad: OVS y WVS 

Este informe muestra una lista de las vulnerabilidades que se han detectado en su sitio web que se enumeran en las CWE /
SANS 25 principales errores de software más peligrosos. Estos errores son a menudo fáciles de encontrar y explotar y son
peligrosos porque a menudo permiten a los atacantes tomar el sitio web o robar datos. Más información se puede encontrar en  

http://cwe.mitre.org/top25/ ​ .  

La Ley de Responsabilidad y Portabilidad del Seguro Médico (HIPAA)

Disponibilidad: OVS y WVS 

Parte de la Ley HIPAA define las políticas, procedimientos y directrices para mantener la privacidad y seguridad de la
información médica personal. Este informe identifica las vulnerabilidades que podrían estar infringiendo estas políticas.
Las vulnerabilidades se agrupan por las secciones tal como se define en la Ley HIPAA. 

Norma Internacional - ISO 27001

Disponibilidad: OVS y WVS 

ISO 27001, que forma parte de la norma ISO / IEC 27000 familia de normas, especifica formalmente un sistema de gestión que
se pretende llevar a seguridad de la información bajo el control de la gestión explícita. Este informe identifica las vulnerabilidades
que podrían ser en violación de la norma y los grupos de las vulnerabilidades por las secciones definidas en la norma. 

NIST Special Publication 800-53

Disponibilidad: OVS y WVS 

NIST Special Publication 80053 cubre los controles de seguridad recomendadas para los Sistemas de Información Federal y
organizaciones. Una vez más, las vulnerabilidades identificadas durante una exploración se agrupan por las categorías tal como
se definen en la publicación. 

OWASP Top 10 2013

Disponibilidad: OVS y WVS 

El Proyecto Open Web Application Security (OWASP) es el proyecto de seguridad web dirigido por una comunidad internacional de las

empresas, instituciones educativas y los investigadores de seguridad. OWASP es conocido por su trabajo en seguridad web,

específicamente a través de su lista de los principales riesgos de seguridad 10 para evitar la Web. Este informe muestra que de las

vulnerabilidades detectadas se encuentran en el OWASP Top 10 vulnerabilidades. 

estándares (PCI) de tarjetas de pago de la industria

Disponibilidad: OVS y WVS 

La Tarjeta de Pago Industria Data Security Standard (PCI DSS) es un estándar de seguridad de la información, que se aplica
a organizaciones que manejan la información del titular de la tarjeta de crédito. Este informe identifica las vulnerabilidades
que podrían vulnerar partes de la norma y los grupos de las vulnerabilidades por el requisito de que se ha violado. 

Sarbanes-Oxley

Disponibilidad: OVS y WVS 

La Ley Sarbanes Oxley fue promulgada para prevenir las actividades financieras fraudulentas por las corporaciones y la alta dirección.

Las vulnerabilidades que se detectan durante una exploración que podría conducir a una ruptura en las secciones de la Ley se enumeran

en este informe. 

STIG Seguridad Web DISA

Disponibilidad: OVS y WVS 

La guía de implementación de seguridad técnica (STIG) es una guía de configuración de software y hardware definido por la
Agencia de Defensa de información del sistema (DISA), que forma parte del Departamento de Defensa de Estados Unidos.
Este informe identifica las vulnerabilidades que violan las secciones de STIG y grupos de las vulnerabilidades por las
secciones de la guía STIG que están siendo violados. 

Web Application Security Consortium (WASC) Clasificación de Amenazas

Disponibilidad: OVS y WVS 

El Web Application Security Consortium (WASC) es una organización sin ánimo de lucro formada por un grupo internacional de
expertos en seguridad, que ha creado un sistema de clasificación de amenazas para las vulnerabilidades web. Este informe agrupa a
las vulnerabilidades identificadas en su sitio utilizando el sistema de clasificación de amenazas WASC. 
Escanear informe de comparación

Captura de pantalla - Escanear informe de comparación    Disponibilidad:

WVS 
El informe de comparación Scan permite al usuario realizar un seguimiento de los cambios entre dos resultados de la exploración para

la misma aplicación. Este informe destacará resuelto, vulnerabilidades sin cambios y nuevos, lo que facilita el seguimiento de los

cambios de desarrollo que afectan a la seguridad de su aplicación web. 

Informe Mensual de vulnerabilidades

Disponibilidad: WVS 
Este informe estadístico correlaciona los datos de los análisis realizados en un mes específico, e informes sobre las
vulnerabilidades identificadas durante ese mes.   
 

Configuración de cuentas infantiles

 Las tareas de análisis y presentación de informes de objetos de análisis se pueden delegar a otras personas dentro de la organización

utilizando cuentas secundarias. Estas cuentas secundarias son Acunetix OVS usuarios que pueden darse permisos para crear objetos

de análisis, escanearlos o informar sobre ellos, todo a través de su cuenta de root. La cuenta original conserva el control sobre qué

cuentas infantiles pueden acceder a qué objetos de análisis y funcionalidades específicas.  

 Nota: Esta función sólo está disponible para usuarios con licencia.   

Roles cuenta infantil

Al crear una cuenta secundaria, es necesario seleccionar una función para el usuario. Hay 4 funciones que puede elegir, que
son la tecnología de administración, probador / Auditor, o Auditor probador. Dependiendo de la función seleccionada, el
usuario será capaz de crear, editar, analizar y eliminar objetos de análisis, ver exploraciones y generar informes. En la
siguiente tabla se resumen los permisos para cada rol   

 
 

Creación de una cuenta infantil

 Para crear una cuenta secundaria: 1.

Desde el menú de su cuenta (arriba a la derecha), seleccione Usuarios.  

2. Haga clic en el botón Crear para crear un usuario nuevo niño en su cuenta 
3. Inserte la dirección de correo electrónico, nombre y apellido del niño nueva cuenta. 
4. Seleccione el papel para el nuevo usuario. Roles cuenta infantil se ha explicado anteriormente. 
 5. Haga clic en Crear para crear el nuevo usuario 

 
6. Después de crear el usuario, tendrá que permisos a objetos de análisis específicos o escanear grupos objetivo.
También puede optar por dar acceso a todos los objetos de análisis en su cuenta (teniendo en cuenta el rol
seleccionado por el usuario) 
7. Haga clic en Actualizar después de configurar el acceso a los objetos de análisis. 

 notas 

● Cuando un usuario se le da acceso a todos los objetos de análisis, el usuario mantendrá el acceso a todos los nuevos objetos de análisis

creados a partir de entonces. 

● Cuando un usuario se le da acceso a un grupo objetivo de escaneado, el usuario será mantener el acceso a los objetos de análisis que se

agregan al grupo objetivo de exploración a partir de entonces. Del mismo modo, la 
 usuario perderá el acceso a los objetos de análisis que se elimina del grupo que se analizarán. 

● Administradores de tecnología pueden crear nuevos objetos de análisis y que puedan decidir para añadirlos a Escanear

grupos objetivo en las que tienen privilegios.   

Administración de cuentas de Niños

 
 Puede administrar todas sus cuentas secundarias de la opción Usuarios. A partir de aquí, se puede revisar al instante los roles

asignados a cada usuario. También se puede dar acceso a todos los objetos de análisis a los usuarios individuales, Desactivar usuarios

y eliminar usuarios de su cuenta.   

Auditoría de Cuentas infantiles

 
 
La cuenta principal puede auditar todas las acciones realizadas por todas las cuentas secundarias. Esto se puede hacer desde el
registro de actividad, la cual se puede acceder desde el menú Cuenta. cuentas infantiles tendrán acceso a un registro de actividades
similares, sin embargo, esto sólo mostrará las actividades que han afectados. 

 El registro de actividad puede ser filtrada por el usuario, el tipo de registro y la gravedad. 

         
Solución de problemas y soporte

Manual de usuario

Las consultas más comunes pueden ser respondidas mediante la consulta de este manual del usuario. 

Preguntas frecuentes
Nuestro equipo de soporte mantiene una lista de preguntas más frecuentes en 
http://www.acunetix.com/support/faq/ .  

Acunetix Blog
Es muy recomendable que sigue nuestro blog de seguridad de la navegación a: 
http://www.acunetix.com/blog/ .  

Pedir soporte
Si se encuentra con problemas persistentes que no se puede resolver, le recomendamos que contacte con el equipo Acunetix Soporte por

correo electrónico a  support@acunetix.com . Por favor, incluya cualquier información que considere que es útil para ayudar a diagnosticar la

incidencia, tales como información sobre las tecnologías web que se utiliza, capturas de pantalla que muestra el problema, etc Por favor,

incluya también la información de licencia en el correo electrónico de apoyo. 

Haremos todo lo posible para responder a su pregunta en 24 horas o menos, dependiendo de su zona horaria. 

base de conocimientos página principal / Soporte

También puede explorar la base de conocimientos Acunetix y otras opciones de soporte de la navegación a:  
http://www.acunetix.com/support/.  

Acunetix página de Facebook

Únase a nosotros en Facebook para las últimas actualizaciones del producto y de la industria: 

http://www.facebook.com/Acunetix .