探域 Web/API 漏洞扫描模糊测试系统

探域

结合模糊测试策略和传统渗透策略开发的全新主动型资产管理和Web漏洞扫描系统

具有海量漏洞库和丰富的匹配规则

通过智能变异和持续反馈等策略有效挖掘更多深

层未知漏洞，将Web漏洞一网打尽

具有APIFuzzing接口安全模糊测试功能，

帮助用户提高应用产品接口安全性

主要功能

旨在帮助各类组织机构不断提升软件资产安全程度

资产发现

通过多种手段发现子域名、URL等资产,并对防火墙等信息进行收集,帮助用户快速梳理资产

漏洞库更新

漏洞库版本持续更新，提高漏洞覆盖面。对常见路径目录、文件进行爆破

Web网址扫描

可通过URL对网站进行漏洞扫描，侧重挖掘未知的软件安全性漏洞

API安全测试

根据用户传入的请求方式，向目标API地址发送测试用例，以便对API接口进行安全扫描

API地址判断

根据用户输入的参数发送相应的请求，通过响应报文的内容，来检测API地址是否有效

生成报告

根据漏洞扫描结果生成条理清晰的报告并向用户提供相应的解决方案

变异请求

使用大量payload对特定的参数测试，并根据返回结果进一步构造测试请求，大大增加扫描能力

多编程语言

支持多种Web编程语言，例如PHP、ASP、.Net、Java等

性能指标

漏洞高覆盖

不仅能对OWASP Top10通用漏洞进行扫描，还能对溢出、内存、IDOR等漏洞进行检测，相对传统的漏洞扫描系统，可检测出更多漏洞类型

工作效率高

引入语义分析技术对漏洞输出点进行定位，通过分析构造一个自动机，进而生成适用于当前位置的靶向Payload，可从数十个请求缩减为个位数

查找速度快

不只基于传统的漏洞模板的 payload 的策略，还通过基于突变和覆盖等策略的模糊测试机制持续生成更多更容易导致系统出问题的输入

占用带宽小

单个漏扫任务累计发送和接收数据平均在8MB左右，漏扫过程中速率峰值200KB/s左右。占用带宽小，系统测试不会影响正常网络通讯

收集能力强

子域收集能力强大，除了通过常规检查，还利用证书透明度、DNS 数据集、DNS 查询、搜索引擎发现和子域名爆破等途径收集子域

多任务并行

支持多个资扫任务或者漏扫任务同时进行。采用分布式集群架构，可以应对大量任务同时进行的场景

产品优势

旨在帮助各类组织机构不断提升软件资产安全程度

产品优势

功能丰富

拥有丰富的功能，系统集成了 web 爬虫、子域名收集、端口探测、服务识别等多种资产搜索策略

插件丰富

拥有的丰富检测插件，用来检测WEB多种漏洞和缺陷，并且检测插件易于系统的扩展，便于后续开发更多的漏洞类型

独特变异规则

根据参数内容的不同，变异的程度不同。例如 URL 参数较少，因此变异程度较低，URL参数较多，变异的程度较高

持续学习能力

系统拥有持续的学习功能，将获得的 HTTP 请求 / 响应中有价值数据再利用以提升后续请求的有效性

应用场景

渗透测试服务公司

渗透测试服务公司

全面的资产发现能力，帮助客户完成客观、真实、具体有效的渗透测试报告

信息安全等级保护测评

信息安全等级保护测评

自动化的模糊测试技术可以高效快速识别未知漏洞，生成条理清晰的报告

政企客户自测

政企客户自测

帮助客户充分了解WEB应用存在的安全隐患，协助用户提升WEB应用抵抗各类攻击的能力

金融行业

金融行业

通过自动生成大量畸形用例，对API接口进行测试，完成漏洞挖掘和帮助修复