【51CTO.com 綜合報道】越來越多的企業、組織通過Web開展業務。Gartner研究報告稱75%的攻擊都是通過Web來進行的。

SQL注入問題存在已經很久了，主要的原因是Web應用程序對用戶輸入檢查不嚴格、數據庫鏈接權限控制不嚴格、數據庫操作行為控制不嚴格。正因為是歷史問題，加上代碼越來越繁雜，修修補補的牽扯太多，所以很多用戶都存在僥幸心理，覺得自己不會那么不幸運吧。

去年的大規模群注攻擊非常震撼，攻擊者使用的暴力方式讓人們對SQL注入攻擊有了全新的認識，很多人一定還記得自己恢復數據庫時的情景。這一次，專業做安全業務的大廠商也沒躲過這一劫。

MS09-002 漏洞利用 IE 對釋放的對象重利用的異常，經過精心編寫 shellcode 進行利用，可在客戶端遠程執行代碼。攻擊代碼已經被公布，利用此漏洞的掛馬正在進行。

WebPecker不同于其他的 Web 掃描器，它將 SQL 注入掃描、XSS 掃描、網馬掃描、敏感信息掃描高度綜合，通過威脅感知，根據不同網站的特點，靈活調整和選擇掃描方案，讓您發現真正的安全隱患。系統通過復雜的和全面的方法檢測 Web 應用安全漏洞，通過并發爬蟲審計技術、智能引擎提高準確度。方便的向導功能使得 WebPecker更容易配置和使用。

與其他傳統掃描軟件不同的是，WebPecker 對新興的 Web2.0 應用和技術密切關注，內嵌自動javascript 解析器，支持復雜的 Web 應用（如 Ajax、SOAP、JavaScript、Flash等）。適用于通過internet、intranet、extranet進行網上交易或信息發布的大、中、小企業，如金融、證券、政府、電子商務、電信運營商、基金、網游、科研院所等各類企事業單位。

系統主要特性：
廣度優先爬蟲與網站目錄還原技術，根據 Web 服務器和應用程序腳本語言類型自動做出調整。
多線程并發掃描，與審計同時進行，節省時間。
輸入 URL 即可快速掃描，容易上手
掃描過程中自動量身定制 profile，結果更準確。
精選多種掃描策略。
狀態檢測技術，全面檢測注入點，不會漏報。
支持主流數據庫的漏洞驗證技術。
支持 SSL 協議及使用證書的應用系統，如網銀。
網頁木馬全面檢測與定位。
多種方法檢測網站是否存在敏感信息。
手工測試臺，包含多個滲透測試工具。
靈活自定義選項，適用于高級用戶。
多權限分級管理。
多角色報告，適用于管理層、技術人員。
合規報告、自定義報告、掃描結果趨勢分析。

WebPecker 檢測策略包括：
1)SQL 注入
2)Blind SQL 注入
3)XSS
4)CSRF
5)遠程文件包含(RFI)注入
6)服務器端包含(SSI)注入
7)本地文件包含(LFI)
8)OS 命令注入
9)不充分的認證
10)不充分的 session 過期
11)SSL協議
12)服務器錯誤配置
13)目錄索引與枚舉
14)URL 重定向攻擊
15)Cookie 安全性
16)目錄遍歷
17)Ajax 審計
18)敏感文件枚舉
19)敏感信息泄漏
20)網頁木馬