什么是N-Stalker？

N-Stalker Web Application Security Scanner X是一个针对Web应用程序的复杂的Web安全评估解决方案。通过结合知名的“N-Stealth HTTP安全扫描器”及其39,000个Web Web Attack Signature数据库以及正在申请专利的面向组件的Web应用程序安全评估技术，N-Stalker是一个“必备”的安全工具，系统、全管理员、T审计员和工作人员。

N-Stalker如何帮助我？

如果您担心SQL注入和跨站点脚本攻击，N-Stalker将扫描您的Web应用程序中的大量漏洞，包括诸如“OWASP Top 10”和“PCI数据安全”等知名标准，以及定制安全检查以确保您的应用程序的安全开发生命周期（SDLC）。

N-Stalker X的新功能

平行Spider Engine

 

N-Stalker发布了一个新的Spider Engine，允许同时获取Web资源。此新功能提供了一种更有效的方式遍历您的应用程序和搜索Web界面。如果你想检查多个请求，只需按“Track Spider”，并按照N-Stalker的HTTP活动。

改进的攻击引擎

N-Stalker X攻击模块基于运行LUA语言的定制引擎。它提供了灵活的集成，并允许快速引入新的攻击模式。从OWASP Top 10到CWE Top 25，N-Stalker X提供了将您自己的签名集成到自己的检测引擎中的方法。

增强的Web引擎

基于开源引擎，N-Stalker X支持所有类型的现代技术，如HTML5、Flash / Flex和Javascript语言，包括完全支持异步请求（Ajax体验）。 N-Stalker将解释脚本并集成您的HTML的DOM（文档对象模型），就像人工导航的Web浏览器在您的应用程序中导航一样。诸如Shockwave / Flash应用的专有对象将容易处理，允许透明的爬行过程。

集成的Web Proxy，用于“drive-thru”攻击

在N-Stalker的spider engine中集成的Web代理，允许对限制和定义良好的范围进行直通导航和安全测试。只需打开您喜欢的浏览器，运行测试用例并记录可用于扩展安全评估的知名应用程序事务。

支持手动安全分析

选择最适合您扫描需求的包装：

》Web引擎N-Stalker	ENTERPRISE	INFRA
Web Spider模块

 

》自定义设计错误	ENTERPRISE	INFRA
跨站点脚本注入模块
数据库篡改 - SQL注入模块，包括：
- 直接模式
- 盲模式
Buffer & Integer Overflow攻击模块
格式字符串攻击模块
文件和目录篡改模块，包括：
- 备份文件发现
- 配置文件发现
- 密码文件发现
- 信息泄漏发现
参数篡改模块，包括：
- 特殊参数添加攻击
- 布尔参数篡改攻击
- 隐藏参数发现
- 参数删除攻击
- 远程执行攻击
- 文件和目录遍历攻击
- 头分离和CRLF注入攻击
- 远程文件包括基于PHP的攻击
检查Web窗体隐藏字段中的可疑值
自定义签名检查（通过签名编辑器）

 

》Web服务器风险	ENTERPRISE	INFRA
Web服务器基础架构分析模块，包括：
- Web服务器和平台版本漏洞
- SSL加密和X.509证书漏洞
- HTTP方法发现模块
- HTTP指纹模块，包括：
- Web服务器指纹模块
- Web服务器技术发现模块
强力攻击目录
- HTTP协议漏洞

 

》Web签名攻击	ENTERPRISE	INFRA
Web攻击签名模块，包括：
- IIS CGI解码测试
- IIS扩展Unicode测试
- IIS文件解析测试
- FrontPage安全测试
- Lotus Domino安全测试
- 通用CGI安全测试
- HTTP设备安全测试（路由器，交换机）
- 基于Windows的CGI安全测试
- 基于Windows的CGI安全测试
- PHP Web应用程序安全测试
- ASP Web应用程序安全测试
- J2EE Web应用程序安全测试
- ColdFusion Web应用程序安全测试
攻击模板如：
- 完整，SANS / FBI Top10，Top20

 

》保密泄露检查	ENTERPRISE	INFRA
寻找Web表单漏洞，包括：
- 密码缓存功能
- 发送数据的不安全方法
- 缺少敏感数据的加密
- 发送数据的位置不安全（泄漏）
- 查找目录列表
- 查找可下载的对象
- 查找元标签泄漏
- 在评论和脚本中查找敏感关键字
合规性分析，包括：
- 查找版权声明
- 查找内容分级声明
- 在网页和表单上查找自定义内容

 

》Cookie曝光检查	ENTERPRISE	INFRA
Cookie安全分析模块，包括：
- 找到cookie信息的弱点
- 查找未加密的Cookie
- 查找Cookie信息中的信息泄漏
- 查找易受恶意客户端脚本的cookie

 

》文件和目录泄露检查	ENTERPRISE	INFRA
搜索备份文件
搜索信息泄漏文件
搜索配置文件
搜索密码文件