Netsparker 是一個檢測能力強大的web漏洞掃描工具，通過此工具，WEB開發(fā)人員可以快速檢測網(wǎng)站的安全性，包括檢測系統(tǒng)的漏洞、數(shù)據(jù)庫的漏洞、SQL注入、跨站攻擊等等，并且檢測完成后會形成相應的報告以及解決方案，從而更好的幫助web開發(fā)人員更好的修復系統(tǒng)漏洞，保證服務器的安全。

【軟件功能】

　　1、自動化網(wǎng)絡安全

　　Netsparker5會自動爬網(wǎng)和掃描所有類型的舊式和現(xiàn)代Web應用程序，包括HTML5，Web 2.0和Single Page Applications（SPA）以及受密碼保護的Web資產(chǎn)。

　　Netsparker5以只讀和安全的方式自動利用已識別的漏洞，并提供利用證明。因此，您可以立即看到該漏洞的影響，而不必手動進行驗證。掃描程序還會生成利用證明，突出其影響。如果無法自動驗證漏洞，Netsparker會提醒您。

　　Netsparker獨特的漏洞掃描技術具有比其他任何掃描儀更好的覆蓋范圍，并且發(fā)現(xiàn)了更多的漏洞，這在面對面的獨立比較測試中得到了證明。

　　系統(tǒng)會自動為漏洞分配嚴重性級別，以突出顯示潛在的損害和必須解決的緊急性。

　　該資產(chǎn)發(fā)現(xiàn)服務會不斷掃描互聯(lián)網(wǎng)基于IP地址，頂級和二級域名和SSL證書信息來發(fā)現(xiàn)你的資產(chǎn)。

　　2、隨著您的成長而擴展

　　Netsparker 使用基于證明的掃描TM技術，可以安全地利用發(fā)現(xiàn)的漏洞并生成利用證據(jù)或概念證明，從而確認這些漏洞不是誤報。

　　您需要合適的工具才能完成工作，而無需延長學習時間。Netsparker Desktop就是這樣。它具有直觀的用戶界面，可讓您在幾秒鐘內開始掃描Web應用程序。

　　即使您擁有大量Web資產(chǎn)，Netsparker儀表板也可以以簡潔明了的方式提供信息。

　　Netsparker5使用可伸縮的掃描代理，這些代理向主應用程序報告，并有效地使用多個IT資源來減少掃描時間。

　　3、獲得完全可見性

　　Netsparker5為管理人員和開發(fā)人員提供了多種不同用途的現(xiàn)成報告。

　　如果內置報告還不夠，您可以使用自己的模板創(chuàng)建自定義報告。

　　Netsparker5完全支持基于AJAX和JavaScript的應用程序，并且可以掃描任何類型的Web應用程序，而無需考慮其所使用的技術。因此，您不必沉迷于配置掃描儀，而可以依靠全面的安全掃描引擎來掃描現(xiàn)代的HTML5，SPA，Web 2.0應用程序和任何其他類型的Web應用程序。

　　除了包括ISO 27001，PCI DSS和HIPAA報告的合規(guī)性報告之外，您還可以讓第三方驗證您的PCI DSS報告。

　　Netsparker5掃描儀具有獨特的自我微調技術。您不必配置URL重寫規(guī)則或自定義404錯誤頁面。而且，在掃描受密碼保護的網(wǎng)站時，您只需指定憑據(jù)即可，而無需記錄任何登錄宏。借助這種自動化，您可以掃描100到1000個網(wǎng)站，而不會浪費大量時間配置掃描儀。

　　4、達到最高效率

　　Netsparker具有內置的團隊管理和漏洞管理功能，可用于創(chuàng)建角色，分配問題，概述修復過程以及完成后進行重新測試。

　　您可以使用第三方問題跟蹤器（例如Azure DevOps，GitLab，GitHub，Jira）以及漏洞管理系統(tǒng)（例如Metasploit或Kenna）來管理漏洞。

　　當在第三方獨立的基準測試網(wǎng)站中進行測試時，Netsparker Web應用程序安全掃描程序確定了所有直接影響漏洞，從而領先于所有其他掃描程序。這些結果進一步證明了Netsparker掃描儀具有最先進，最精確的爬網(wǎng)和漏洞掃描技術以及最高的Web漏洞檢測率。

　　為了從一開始就保護您的應用程序，可以將Netsparker與CI / CD平臺（例如Jenkins，TeamCity或Bamboo）集成。

【新版特色】

　　一、關鍵跟蹤器集成

　　我們添加了Pivotal Tracker發(fā)送至集成，這是另一個發(fā)送至實現(xiàn)，允許用戶將漏洞詳細信息發(fā)送到Pivotal Tracker。Pivotal Tracker是敏捷開發(fā)項目管理工具，是全球開發(fā)人員圍繞共享優(yōu)先級積壓進行實時協(xié)作的首選。netsparker pro也將具有相同的集成。

　　二、測試網(wǎng)站配置的Mime類型步驟

　　通過添加Mime Type頁面，此更新改進了netsparker pro的“測試站點配置”向導。現(xiàn)在，您可以通過從啞劇類型列表中進行選擇來下載請求。此功能允許用戶使用所需的MIME類型下載屬于http://rest.testsparker.com易受攻擊的RESTful Web服務的請求。

　　三、改進的預請求腳本API

　　netsparker pro的早期版本具有對請求標頭和參數(shù)的只讀訪問權限?，F(xiàn)在，通過此更新，我們增加了從預請求腳本中添加，刪除或編輯請求參數(shù)和標頭的功能。此外，請求主體還可以使用預腳本API，因此也可以通過預請求腳本進行設置。

　　四、片段解析選項

　　我們在“掃描策略編輯器”對話框的“爬網(wǎng)”選項卡中添加了“片段解析”復選框選項。您可以選中此選項以啟用解析URI片段，以便發(fā)現(xiàn)片段中的參數(shù)。默認情況下啟用。

　　五、SameSite Cookies安全檢查

　　SameSite cookie屬性用于禁用第三方使用cookie，從而防止CSRF攻擊。在此安全檢查中，掃描程序將檢查目標Web應用程序是否將SameSite cookie屬性發(fā)送到網(wǎng)站cookie。我們?yōu)镾ameSite Cookies添加了一個新漏洞，該漏洞設置為“無”并且未標記為安全。

【更新內容】

　　修復了一個錯誤,在DOM模擬期間,在導航操作時可能無法正確地對HTTPS端點進行爬網(wǎng)。

　　修復了一個手動爬行模式的錯誤，在該模式下，初始爬行階段結束后可能停止執(zhí)行。

　　修正了一些反應網(wǎng)站中表單認證可能無法執(zhí)行的問題

　　修復了進程可能因NullReferenceException而崩潰的問題