netsparker(web应用扫描工具)

　　Netsparker是一个简单而有效的web应用扫描工具，专门为需要在所有Web应用程序中检测和报告安全问题（例如SQL注入，远程代码执行和跨站点脚本（XSS））的Web开发人员和渗透测试人员而设计。Netsparker可以轻松地与SDLC和DevOps环境中的CI / CD以及其他系统集成，从而使您能够构建完全可自定义的工作流，其中漏洞的评估、分类和验证过程都可以自动进行。提交代码后，将自动启动扫描，并将验证的漏洞自动发布到您的错误跟踪系统上，同时分配给开发人员，从而实现自动执行所有Web应用程序安全管理。

软件功能

　　使用此程序，您可以检测各种网站中的漏洞，无论它们基于什么平台构建。

　　首次启动该应用程序时，需要输入要扫描的URL地址，并发现可能会使您暴露的漏洞。它将搜寻整个网站并毫不费力地找出所有问题。

　　例如，当Netsparker识别SQL注入时，它将自动确定如何利用它并提取有价值的信息，以便您可以确保问题不是假阳性。

　　该应用程序的左面板允许您以扩展的方式查看网站的所有文件夹，以便您可以按自己的方式检查每个页面。如果发现问题，则可以预览漏洞详细信息，并阅读每个问题的补救措施说明。

　　而且，Netsparker能够在目标网站中查找隐藏的文件和目录，例如测试文件和已知的易受攻击的脚本。这样，即使未在网站上的任何位置链接，应用程序也将立即识别“ admin”目录。

　　仪表板面板允许您查看扫描信息，例如平均速度，HEAD和失败的请求以及经过的时间。另外，您可以使用位于应用程序底部的右面板，按照漏洞类型，严重性，确认和URL地址对已识别的问题进行分组。

　　考虑到扫描Web应用程序的主要目的是消除安全测试的重复繁琐工作，因此Netsparker拥有一组有用的功能，这些功能可以直接指出并在几秒钟内识别所有漏洞。

　　最后，Netsparker使用内置的利用引擎，可以帮助您轻松保护Web应用程序的安全，并在每次检测到问题时获得即时，详细的报告。

软件特色

　　实用且可靠的应用程序，旨在检测Web应用程序中的漏洞并消除安全测试的重复繁琐工作。

　　Netsparker是可扩展的多用户Web应用程序安全解决方案，具有内置的工作流和报告工具，是安全团队的理想选择。它可以作为托管和自托管解决方案使用，并且可以完全集成到任何开发或测试环境中。

　　Netsparker的座右铭是实现自动化。实际上，Netsparker是Web应用程序安全性自动化和可伸缩性的先驱。它具有基于证明的扫描TM，这是专有技术，可以自动验证已识别的漏洞，证明它们不是误报。

　　这种独特的高自动化水平使您无需进行手动验证即可获得切实可行的准确见解，因此您的团队可以立即着手研究补救措施。

　　如果必须手动验证漏洞评估的结果，则不可能真正地扩展和管理数千个Web应用程序。Netsparker使用其专有的基于证据的扫描TM技术来自动验证误报并为您节省数百个工时。在不扩大团队规模的情况下扩大工作量。

　　我们的网络应用安全解决方案可帮助各种规模和行业的企业识别其网络应用中的漏洞并确定修复的优先顺序。从小型企业到财富500强企业，每个人都依赖Netsparker。

安装方法

　　1、下载并解压软件，得到安装程序与Crack补丁文件夹，先双击安装程序进入如下的许可协议界面，点击【I agree】按钮。

　　2、选择安装版本，这里选择默认的【trial installation】的试用安装，然后点击【next】。

　　3、选择安装位置，用户可以选择默认的安装路径C:\Program Files (x86)\Netsparker，也可以自定义。

　　4、选择开始菜单文件夹，用户可以选择默认的Netsparker，点击【install】按钮开始安装。

　　5、安装完成后自动运行进入Netsparker的祝主界面，点击【help】按钮，然后选择【load new license..】的选择许可文件。

　　6、弹出如下的提示，点击【yes】按钮。

　　7、弹出如下的选择Netsparker许可文件的窗口，选择Crack补丁文件夹中你的“Professional.msl”，点击【打开】，软件自动重启，重启后我们先关闭程序。

　　8、将补丁文件“MSL.Core.Scheme.dll”复制到软件的安装目录，默认路径为C:\Program Files (x86)\Netsparker。

　　9、弹出了如下的目标保护他们文件的提示，选择【替换目标中的文件】。

　　10、运行Netsparker，即可直接进行使用。

使用说明

　　使用基于证明的Scanning™可以在数小时内而不是数天内扫描数千个Web应用程序

　　传统的DAST解决方案不允许您真正扩展和扫描数千个Web应用程序。您的团队将需要数周的时间来配置它并手动验证已识别的漏洞，因此这是不可行的解决方案。

　　借助Netsparker独有的预扫描自动化和基于证明的Scanning™技术，您可以轻松进行扩展。在几个小时之内，您就可以检测到漏洞，并获得开发人员开始解决问题所需的明智且准确的结果。Netsparker会自动验证已识别的漏洞，因此您的团队无需手动验证它们。

　　扫描任何类型的自定义，旧版或现成的 Web应用程序

　　Netsparker使用基于Chrome的爬网引擎。它可以爬网和扫描任何Web应用程序，而无需考虑其所使用的技术。它可以扫描HTML5，Web 2.0应用程序，单页应用程序（SPA）以及任何严重依赖客户端技术的其他类型的应用程序。

　　它还可以扫描受密码保护的网站，并支持Web上使用的所有流行的身份验证机制，包括表单身份验证，客户端证书身份验证和智能卡身份验证。

　　Netsparker还可以识别和扫描旧版和现成的Web应用程序，例如WordPress和Drupal，以及库和框架，例如AngularJS和jQuery。

　　识别的不只是低挂漏洞

　　传统的DAST（动态应用程序安全测试）解决方案只能通过将请求发送到目标并分析响应来检测漏洞。这将它们的检测功能限制为有限数量的Web应用程序漏洞。

　　Netsparker Web应用程序安全解决方案超越了传统的漏洞扫描。它使用Netsparker Hawk的漏洞测试基础结构2甚至可以识别最复杂的漏洞，例如服务器端请求伪造（SSRF），带外和二阶漏洞。

　　利用可行的见解和无缝漏洞分类功能，自动警告开发人员问题

　　不再强调漏洞分类，微观管理问题和委派修复程序。Netsparker可以自动将问题发布到您的问题跟踪系统，并将其分配给提交代码的开发人员，从而立即向他们发出代码安全漏洞的警报。

　　Netsparker还会自动检查开发人员修复程序，因此大多数后扫描和漏洞分类过程都是自动化的。通过自动化组织的工作流程：

　　开发人员精通安全性并学习如何编写更安全的代码

　　新开发的Web应用程序立即可用

　　漏洞永远不会进入实时环境

　　团队花费更少的时间和资源来解决问题

　　您可以确保旧版Web应用程序是安全的

　　通过持续的Web安全评估获得更好的可见性

　　通过将Netsparker集成到SDLC，DevOps或任何其他环境中，您可以创建一个闭环Web应用程序安全解决方案。这意味着扫描会在代码提交时自动启动，问题会自动报告并分配给提交代码的开发人员，并且还会自动检查修复程序。

　　这种持续的Web安全评估设置，我们量身定制的工作流工具和报告使管理人员可以始终处于Web应用程序安全性之上，从而协作以确保Web应用程序，Web服务和API全年安全。

　　合适的受众群体的合适报告

　　Web应用程序安全性是一个过程，而不是一次性解决方案。这就是为什么Netsparker的仪表板报告突出显示一段时间内网站的安全状态，而不是简单地显示在某个时间点执行一次扫描的结果。这些报告提供了有关漏洞数据和趋势的图解说明，从而使管理人员可以更好地了解单个开发人员的生产力和整个组织的进度。

　　另一方面，问题报告非常详细和具体。它们包括开发人员了解漏洞所需的所有技术细节。这些技术报告还包括对开发人员的实用补救建议。

　　使用适合您的环境的完全可配置的工具

　　即使Netsparker Web应用程序安全解决方案易于使用且完全自动化，但仍可以完全配置。扫描的每个功能和方面（包括自动化功能）都是可以自定义的。

　　在启动扫描之前，您可以配置扫描范围以指示扫描仪如何对网站进行爬网。您还可以配置扫描策略，以确定在扫描期间应运行哪些安全检查，以及自定义Cookie，反CSRF令牌，自定义HTTP标头等。

　　深入挖掘并使用Web安全多工具测试每个可能的攻击媒介

　　尽管可以自动识别和利用大多数技术安全问题，但是只能手动识别逻辑漏洞。这就是为什么您需要合适的工具来完成这项工作的原因-它扩展了传统的自动化Web漏洞扫描程序的功能。

　　即使Netsparker是自动化的解决方案，它也具有您需要的所有渗透测试工具，可帮助您对目标Web应用程序进行全面的安全评估。它包括一个手动爬网程序，一个受控扫描功能，一个HTTP请求构建器以及其他使其成为最终Web安全工具包的其他工具。