Acunetix Web Vulnerability Scanner (WVS) работает следующим образом:

- Acunetix WVS исследует и формирует структуру сайта, обрабатывая все найденные ссылки и собирая информация обо всех обнаруженных файлах;

- Затем программа тестирует все web-страницы с элементами для ввода данных, моделируя ввод данных с использованием всех возможных комбинаций и анализируя полученные результаты;

- Обнаружив уязвимость, Acunetix WVS выдает соответствующее предупреждение, которое содержит описание уязвимости и рекомендации по ее устранению;

- Итоговый отчет WVS может быть записан в файл для дальнейшего анализа и сравнения с результатами предыдущих проверок. 

- Какие уязвимости обнаруживает Acunetix Web Vulnerability Scanner 

- Acunetix Web Vulnerability Scanner автоматически обнаруживает следующие уязвимости: 

- Cross site scripting (выполнение вредоносного сценария в браузере пользователя при обращении и в контексте безопасности доверенного сайта);

- SQL injection (также и блинд инъект, но к сожелению он только находит место инъекции — но саму инъекцию не проводит)

- База данных GHDB (Google hacking database) – перечень типовых запросов, используемых хакерами для получения несанкционированного доступа к web-приложения и сайтам.

- Выполнение кода:

- Обход каталога;

- Вставка файлов (File inclusion);

- Раскрытие исходного текста сценария;

- CRLF injection

- Cross frame scripting;

- Общедоступные резервные копии файлов и папок;

- Файлы и папки, содержащие важную информацию;

- Файлы, которые могут содержать информацию, необходимую для проведения атак (системные логи, журналы трассировки приложений и т.д.);

- Файлы, содержащие списки папок; 

- Папка с низким уровнем защиты, позволяющие создавать, модифицировать или удалять файлы.

- А также идентифицирует задействованные серверные технологии (WebDAV, FrontPage и т.д.) и разрешение на использование потенциально опасных http-методов (PUT, TRACE, DELETE).

Advanced penetration testing tools included.

In addition to its automated scanning engine, Acunetix includes advanced tools to allow penetration testers to fine tune web application security audits:

• HTTP Editor - Construct HTTP/HTTPS requests and analyze the web server response.

• HTTP Sniffer - Intercept, log and modify all HTTP/HTTPS traffic and reveal all data sent by a web application.

• HTTP Fuzzer - Perform sophisticated fuzzing tests to test web applications input validation and handling of unexpected and invalid random data. Test thousands of input parameters with the easy to use rule builder of the HTTP Fuzzer. Tests that would have taken days to perform manually can now be done in minutes.

• Script your own custom web vulnerability attacks with the WVS Scripting tool. A scripting SDK documentation is available from the Acunetix website.

• Blind SQL Injector - An automated database data extraction tool that is ideal for penetration testers who wish to make further tests manually.

Many more advanced features:

• Scanning profiles to easily scan websites with different scan options and identities.

• Custom report generator.

• Compare scans and find differences with previous scans.

• Easily re-audit web site changes with rescan functionality.

• Support for CAPTCHA, Single Sign-On and Two Factor authentication mechanisms.

• Detects popular web applications (e.g. forums, shopping carts) and detects vulnerable versions.

• Detects directories with weak permissions and if dangerous HTTP methods are enabled.

• Generates a list of uncommon HTTP responses such as internal server error, HTTP 500, etc.

• Customize list of false positives.

Язык интерфейса - English