Acunetix Web Vulnerability Scanner (WVS) jest kompleksowym narzędziem audytu bezpieczeństwa dla aplikacji webowych. Spis testów, które wykonuje Acunetix WVS można znaleźć na stronie:
www.acunetix.com/support/vulnerability-checks.htm
W szczególności narzędzie to:
- pozwala na wykrycie błędów w odniesieniach do baz SQL - popularnie znany problem pod hasłem SQL Injection, czyli luka w zabezpieczeniach polegająca
na nieodpowiednim filtrowaniu lub niedostatecznym typowaniu i późniejszym wykonaniu danych przesyłanych w postaci zapytań SQL do bazy danych. Podatne są na niego systemy złożone z warstwy programistycznej (przykładowo skrypt w PHP, ASP, JSP itp.) dynamicznie generującej zapytania do bazy danych (np. MySQL, PostgreSQL).
- wykrywa podatność aplikacji na ataki cross-site scripting (XSS) - jest to sposób ataku na serwis WWW polegający na osadzeniu w treści atakowanej strony kodu (zazwyczaj jest to kod JavaScript), który wyświetlony innym użytkownikom może doprowadzić do wykonania przez nich niepożądanych akcji. Skrypt umieszczony w zaatakowanej stronie może obejść niektóre mechanizmy kontroli dostępu do danych użytkownika.
- identyfikuje podatność na okoliczność XPath Injection, która to polega
na zastosowaniu pewnych manipulacji w stosunku do wyszukiwania XPath
w celu wydobycia informacji z baz danych XML. Jest to relatywnie nowa technika będąca w pewnym stopniu podobna do ataków typu SQL Injection.
Więcej informacji:
Acunetix Web Vulnerability Scanner
