Netsparker 是一個(gè)檢測(cè)能力強(qiáng)大的web漏洞掃描工具，通過此工具，WEB開發(fā)人員可以快速檢測(cè)網(wǎng)站的安全性，包括檢測(cè)系統(tǒng)的漏洞、數(shù)據(jù)庫的漏洞、SQL注入、跨站攻擊等等，并且檢測(cè)完成后會(huì)形成相應(yīng)的報(bào)告以及解決方案，從而更好的幫助web開發(fā)人員更好的修復(fù)系統(tǒng)漏洞，保證服務(wù)器的安全。

【軟件功能】

　　1、自動(dòng)化網(wǎng)絡(luò)安全

　　Netsparker5會(huì)自動(dòng)爬網(wǎng)和掃描所有類型的舊式和現(xiàn)代Web應(yīng)用程序，包括HTML5，Web 2.0和Single Page Applications（SPA）以及受密碼保護(hù)的Web資產(chǎn)。

　　Netsparker5以只讀和安全的方式自動(dòng)利用已識(shí)別的漏洞，并提供利用證明。因此，您可以立即看到該漏洞的影響，而不必手動(dòng)進(jìn)行驗(yàn)證。掃描程序還會(huì)生成利用證明，突出其影響。如果無法自動(dòng)驗(yàn)證漏洞，Netsparker會(huì)提醒您。

　　Netsparker獨(dú)特的漏洞掃描技術(shù)具有比其他任何掃描儀更好的覆蓋范圍，并且發(fā)現(xiàn)了更多的漏洞，這在面對(duì)面的獨(dú)立比較測(cè)試中得到了證明。

　　系統(tǒng)會(huì)自動(dòng)為漏洞分配嚴(yán)重性級(jí)別，以突出顯示潛在的損害和必須解決的緊急性。

　　該資產(chǎn)發(fā)現(xiàn)服務(wù)會(huì)不斷掃描互聯(lián)網(wǎng)基于IP地址，頂級(jí)和二級(jí)域名和SSL證書信息來發(fā)現(xiàn)你的資產(chǎn)。

　　2、隨著您的成長(zhǎng)而擴(kuò)展

　　Netsparker 使用基于證明的掃描TM技術(shù)，可以安全地利用發(fā)現(xiàn)的漏洞并生成利用證據(jù)或概念證明，從而確認(rèn)這些漏洞不是誤報(bào)。

　　您需要合適的工具才能完成工作，而無需延長(zhǎng)學(xué)習(xí)時(shí)間。Netsparker Desktop就是這樣。它具有直觀的用戶界面，可讓您在幾秒鐘內(nèi)開始掃描Web應(yīng)用程序。

　　即使您擁有大量Web資產(chǎn)，Netsparker儀表板也可以以簡(jiǎn)潔明了的方式提供信息。

　　Netsparker5使用可伸縮的掃描代理，這些代理向主應(yīng)用程序報(bào)告，并有效地使用多個(gè)IT資源來減少掃描時(shí)間。

　　3、獲得完全可見性

　　Netsparker5為管理人員和開發(fā)人員提供了多種不同用途的現(xiàn)成報(bào)告。

　　如果內(nèi)置報(bào)告還不夠，您可以使用自己的模板創(chuàng)建自定義報(bào)告。

　　Netsparker5完全支持基于AJAX和JavaScript的應(yīng)用程序，并且可以掃描任何類型的Web應(yīng)用程序，而無需考慮其所使用的技術(shù)。因此，您不必沉迷于配置掃描儀，而可以依靠全面的安全掃描引擎來掃描現(xiàn)代的HTML5，SPA，Web 2.0應(yīng)用程序和任何其他類型的Web應(yīng)用程序。

　　除了包括ISO 27001，PCI DSS和HIPAA報(bào)告的合規(guī)性報(bào)告之外，您還可以讓第三方驗(yàn)證您的PCI DSS報(bào)告。

　　Netsparker5掃描儀具有獨(dú)特的自我微調(diào)技術(shù)。您不必配置URL重寫規(guī)則或自定義404錯(cuò)誤頁面。而且，在掃描受密碼保護(hù)的網(wǎng)站時(shí)，您只需指定憑據(jù)即可，而無需記錄任何登錄宏。借助這種自動(dòng)化，您可以掃描100到1000個(gè)網(wǎng)站，而不會(huì)浪費(fèi)大量時(shí)間配置掃描儀。

　　4、達(dá)到最高效率

　　Netsparker具有內(nèi)置的團(tuán)隊(duì)管理和漏洞管理功能，可用于創(chuàng)建角色，分配問題，概述修復(fù)過程以及完成后進(jìn)行重新測(cè)試。

　　您可以使用第三方問題跟蹤器（例如Azure DevOps，GitLab，GitHub，Jira）以及漏洞管理系統(tǒng)（例如Metasploit或Kenna）來管理漏洞。

　　當(dāng)在第三方獨(dú)立的基準(zhǔn)測(cè)試網(wǎng)站中進(jìn)行測(cè)試時(shí)，Netsparker Web應(yīng)用程序安全掃描程序確定了所有直接影響漏洞，從而領(lǐng)先于所有其他掃描程序。這些結(jié)果進(jìn)一步證明了Netsparker掃描儀具有最先進(jìn)，最精確的爬網(wǎng)和漏洞掃描技術(shù)以及最高的Web漏洞檢測(cè)率。

　　為了從一開始就保護(hù)您的應(yīng)用程序，可以將Netsparker與CI / CD平臺(tái)（例如Jenkins，TeamCity或Bamboo）集成。

【新版特色】

　　一、關(guān)鍵跟蹤器集成

　　我們添加了Pivotal Tracker發(fā)送至集成，這是另一個(gè)發(fā)送至實(shí)現(xiàn)，允許用戶將漏洞詳細(xì)信息發(fā)送到Pivotal Tracker。Pivotal Tracker是敏捷開發(fā)項(xiàng)目管理工具，是全球開發(fā)人員圍繞共享優(yōu)先級(jí)積壓進(jìn)行實(shí)時(shí)協(xié)作的首選。netsparker pro也將具有相同的集成。

　　二、測(cè)試網(wǎng)站配置的Mime類型步驟

　　通過添加Mime Type頁面，此更新改進(jìn)了netsparker pro的“測(cè)試站點(diǎn)配置”向?qū)А，F(xiàn)在，您可以通過從啞劇類型列表中進(jìn)行選擇來下載請(qǐng)求。此功能允許用戶使用所需的MIME類型下載屬于http://rest.testsparker.com易受攻擊的RESTful Web服務(wù)的請(qǐng)求。

　　三、改進(jìn)的預(yù)請(qǐng)求腳本API

　　netsparker pro的早期版本具有對(duì)請(qǐng)求標(biāo)頭和參數(shù)的只讀訪問權(quán)限?，F(xiàn)在，通過此更新，我們?cè)黾恿藦念A(yù)請(qǐng)求腳本中添加，刪除或編輯請(qǐng)求參數(shù)和標(biāo)頭的功能。此外，請(qǐng)求主體還可以使用預(yù)腳本API，因此也可以通過預(yù)請(qǐng)求腳本進(jìn)行設(shè)置。

　　四、片段解析選項(xiàng)

　　我們?cè)?ldquo;掃描策略編輯器”對(duì)話框的“爬網(wǎng)”選項(xiàng)卡中添加了“片段解析”復(fù)選框選項(xiàng)。您可以選中此選項(xiàng)以啟用解析URI片段，以便發(fā)現(xiàn)片段中的參數(shù)。默認(rèn)情況下啟用。

　　五、SameSite Cookies安全檢查

　　SameSite cookie屬性用于禁用第三方使用cookie，從而防止CSRF攻擊。在此安全檢查中，掃描程序?qū)z查目標(biāo)Web應(yīng)用程序是否將SameSite cookie屬性發(fā)送到網(wǎng)站cookie。我們?yōu)镾ameSite Cookies添加了一個(gè)新漏洞，該漏洞設(shè)置為“無”并且未標(biāo)記為安全。

【更新內(nèi)容】

　　修復(fù)了一個(gè)錯(cuò)誤,在DOM模擬期間,在導(dǎo)航操作時(shí)可能無法正確地對(duì)HTTPS端點(diǎn)進(jìn)行爬網(wǎng)。

　　修復(fù)了一個(gè)手動(dòng)爬行模式的錯(cuò)誤，在該模式下，初始爬行階段結(jié)束后可能停止執(zhí)行。

　　修正了一些反應(yīng)網(wǎng)站中表單認(rèn)證可能無法執(zhí)行的問題

　　修復(fù)了進(jìn)程可能因NullReferenceException而崩潰的問題