什么是N-Stalker？

N-Stalker Web Application Security Scanner X是一個(gè)針對(duì)Web應(yīng)用程序的復(fù)雜的Web安全評(píng)估解決方案。通過(guò)結(jié)合知名的“N-Stealth HTTP安全掃描器”及其39,000個(gè)Web Web Attack Signature數(shù)據(jù)庫(kù)以及正在申請(qǐng)專利的面向組件的Web應(yīng)用程序安全評(píng)估技術(shù)，N-Stalker是一個(gè)“必備”的安全工具，系統(tǒng)、全管理員、T審計(jì)員和工作人員。

N-Stalker如何幫助我？
如果您擔(dān)心SQL注入和跨站點(diǎn)腳本攻擊，N-Stalker將掃描您的Web應(yīng)用程序中的大量漏洞，包括諸如“OWASP Top 10”和“PCI數(shù)據(jù)安全”等知名標(biāo)準(zhǔn)，以及定制安全檢查以確保您的應(yīng)用程序的安全開(kāi)發(fā)生命周期（SDLC）。
N-Stalker X的新功能

平行Spider Engine

N-Stalker發(fā)布了一個(gè)新的Spider Engine，允許同時(shí)獲取Web資源。此新功能提供了一種更有效的方式遍歷您的應(yīng)用程序和搜索Web界面。如果你想檢查多個(gè)請(qǐng)求，只需按“Track Spider”，并按照N-Stalker的HTTP活動(dòng)。
改進(jìn)的攻擊引擎

N-Stalker X攻擊模塊基于運(yùn)行LUA語(yǔ)言的定制引擎。它提供了靈活的集成，并允許快速引入新的攻擊模式。從OWASP Top 10到CWE Top 25，N-Stalker X提供了將您自己的簽名集成到自己的檢測(cè)引擎中的方法。
增強(qiáng)的Web引擎

基于開(kāi)源引擎，N-Stalker X支持所有類型的現(xiàn)代技術(shù)，如HTML5、Flash / Flex和Javascript語(yǔ)言，包括完全支持異步請(qǐng)求（Ajax體驗(yàn)）。 N-Stalker將解釋腳本并集成您的HTML的DOM（文檔對(duì)象模型），就像人工導(dǎo)航的Web瀏覽器在您的應(yīng)用程序中導(dǎo)航一樣。諸如Shockwave / Flash應(yīng)用的專有對(duì)象將容易處理，允許透明的爬行過(guò)程。

集成的Web Proxy，用于“drive-thru”攻擊

在N-Stalker的spider engine中集成的Web代理，允許對(duì)限制和定義良好的范圍進(jìn)行直通導(dǎo)航和安全測(cè)試。只需打開(kāi)您喜歡的瀏覽器，運(yùn)行測(cè)試用例并記錄可用于擴(kuò)展安全評(píng)估的知名應(yīng)用程序事務(wù)。

支持手動(dòng)安全分析

選擇最適合您掃描需求的包裝：

》Web引擎N-Stalker	ENTERPRISE	INFRA
Web Spider模塊

 

》自定義設(shè)計(jì)錯(cuò)誤	ENTERPRISE	INFRA
跨站點(diǎn)腳本注入模塊
數(shù)據(jù)庫(kù)篡改 - SQL注入模塊，包括：
- 直接模式
- 盲模式
Buffer & Integer Overflow攻擊模塊
格式字符串攻擊模塊
文件和目錄篡改模塊，包括：
- 備份文件發(fā)現(xiàn)
- 配置文件發(fā)現(xiàn)
- 密碼文件發(fā)現(xiàn)
- 信息泄漏發(fā)現(xiàn)
參數(shù)篡改模塊，包括：
- 特殊參數(shù)添加攻擊
- 布爾參數(shù)篡改攻擊
- 隱藏參數(shù)發(fā)現(xiàn)
- 參數(shù)刪除攻擊
- 遠(yuǎn)程執(zhí)行攻擊
- 文件和目錄遍歷攻擊
- 頭分離和CRLF注入攻擊
- 遠(yuǎn)程文件包括基于PHP的攻擊
檢查Web窗體隱藏字段中的可疑值
自定義簽名檢查（通過(guò)簽名編輯器）

 

》Web服務(wù)器風(fēng)險(xiǎn)	ENTERPRISE	INFRA
Web服務(wù)器基礎(chǔ)架構(gòu)分析模塊，包括：
- Web服務(wù)器和平臺(tái)版本漏洞
- SSL加密和X.509證書(shū)漏洞
- HTTP方法發(fā)現(xiàn)模塊
- HTTP指紋模塊，包括：
- Web服務(wù)器指紋模塊
- Web服務(wù)器技術(shù)發(fā)現(xiàn)模塊
強(qiáng)力攻擊目錄
- HTTP協(xié)議漏洞

 

》Web簽名攻擊	ENTERPRISE	INFRA
Web攻擊簽名模塊，包括：
- IIS CGI解碼測(cè)試
- IIS擴(kuò)展Unicode測(cè)試
- IIS文件解析測(cè)試
- FrontPage安全測(cè)試
- Lotus Domino安全測(cè)試
- 通用CGI安全測(cè)試
- HTTP設(shè)備安全測(cè)試（路由器，交換機(jī)）
- 基于Windows的CGI安全測(cè)試
- 基于Windows的CGI安全測(cè)試
- PHP Web應(yīng)用程序安全測(cè)試
- ASP Web應(yīng)用程序安全測(cè)試
- J2EE Web應(yīng)用程序安全測(cè)試
- ColdFusion Web應(yīng)用程序安全測(cè)試
攻擊模板如：
- 完整，SANS / FBI Top10，Top20

 

》保密泄露檢查	ENTERPRISE	INFRA
尋找Web表單漏洞，包括：
- 密碼緩存功能
- 發(fā)送數(shù)據(jù)的不安全方法
- 缺少敏感數(shù)據(jù)的加密
- 發(fā)送數(shù)據(jù)的位置不安全（泄漏）
- 查找目錄列表
- 查找可下載的對(duì)象
- 查找元標(biāo)簽泄漏
- 在評(píng)論和腳本中查找敏感關(guān)鍵字
合規(guī)性分析，包括：
- 查找版權(quán)聲明
- 查找內(nèi)容分級(jí)聲明
- 在網(wǎng)頁(yè)和表單上查找自定義內(nèi)容

 

》Cookie曝光檢查	ENTERPRISE	INFRA
Cookie安全分析模塊，包括：
- 找到cookie信息的弱點(diǎn)
- 查找未加密的Cookie
- 查找Cookie信息中的信息泄漏
- 查找易受惡意客戶端腳本的cookie

 

》文件和目錄泄露檢查	ENTERPRISE	INFRA
搜索備份文件
搜索信息泄漏文件
搜索配置文件
搜索密碼文件