ACUNETIX

Scanner para Identificar Vulnerabilidades em

Aplicaes WEB

Maro 2012

SUNLIT TECHNOLOGIES
Representante Acunetix no Brasil

Combating the web vulnerability threat www.acunetix.com

 GARTNER GROUP aponta a soluo ACUNETIX como
um dos lderes em ANLISE DE VULNERABILIDADE DE
APLICAES

Confira a posio de destaque ocupada pela soluo ACUNETIX no

QUADRANTE MGICO do GARTNER GROUP (dezembro de 2011) em referencia ao tema
DAST (Dynamic Application Security Testing) ou Anlise de Vulnerabilidades em Aplicaes.

Combating the web vulnerability threat www.acunetix.com

Por que sua empresa pode se tornar alvo de
hackers ?

Porque voce disponibiliza seu website 7x24 para atender seus clientes
eos hackers sabem disso !

Alm disso.os hackers gostam bastante de se divertire aproveitam

o tempo livre para :
. Obter acesso a dados sensitivos (de sua empresa, de seus
fornecedores e de seus clientes..)
Descaracterizar websites
Lhe presentear com mensagens PHISHING para obter seus dados
bancrios
Entupir seus links de acesso pela distribuio de contedo ilegal
Manipular de forma maliciosa seus aplicativos WEB

Combating the web vulnerability threat www.acunetix.com

O que sua empresa perde sendo hackeada ?

Confidencialidade de informaes relativas ao negcio

Perda de confiana e reputao perante seus clientes e
fornecedores
Imagem da sua empresa arranhada
Suas operaes podem ficar fora-do-ar
Perda de faturamento e receitas
Implicaes legais e multas

Combating the web vulnerability threat www.acunetix.com

Porque escolher um scanner ambiente WEB ?

Voce pode manter aberta a Port 80

Um firewall de aplicao WEB no suficiente para barrar intrusos
Firewalls, IDS and IPS no tem proteo suficiente
Acesso direto a servidores corporativos
Aplicaes feitas in-house no so auditadas

Combating the web vulnerability threat www.acunetix.com

Como o Scanner-Acunetix funciona..

Detecta SQL Injection e XSS entre outras vulnerabilidades..

Audita websites de forma manual e automatica
Estado da arte na tecnologia de rastreamento de vulnerabilidades
Utiliza Engine (CSA) Client Script Analyzer
Suporte a Web 2.0, JavaScript / Ajax, JQuery com engine CSA
Abordagem com mtodos Heuristicos
Relatrios detalhados
Suporte a linha de comando

Combating the web vulnerability threat www.acunetix.com

 Diferenciais tcnicos da soluo ACUNETIX
Deteco de erro 404
Manipula formulrios CAPTCHA
Suporta single-sign-on e mecanismos de tokens
Suporta mltiplos SCANS a partir de mesma mquina (verso 8 fev 2012)
Permite a manipulao de parametros da URL (verso 8 fev 2012)
Identifica uma nova classe de vulnerabilidade: HTTP PARAMETER
POLLUTION (verso 8 fev 2012)
Permite acesso direto ao cdigo das aplicaes WEB atravs da
tecnologia ACUSENSOR

Combating the web vulnerability threat www.acunetix.com

O que a funcionalidade ACUSENSOR ?

Vai alm do escaneamento CAIXA-PRETA

Verifica a configurao da tecnologia WEB
Menor nmero de falso-positivos
Sem regras de regravao Url

Combating the web vulnerability threat www.acunetix.com

 A tecnologia AcuSensor gera informaes
avanadas para debug de vulnerabilidades

Mostra qual a query QL vulnervel ao

SQL Injection
E indica exatamente a linha de
Cdigo onde a vulnerabilidade est
Localizada. .

Combating the web vulnerability threat www.acunetix.com

 Interface amigvel

Facilidade no acompanhamento de status das vulnerabilidades

Combating the web vulnerability threat www.acunetix.com

Testes de penetrao avanados em ambiente WEB

Testes de penetrao avanados incluem :

HTTP Editor
HTTP Sniffer
HTTP Fuzzer
Blind SQL injector
Authentication Tester

Combating the web vulnerability threat www.acunetix.com

Uma soluo de segurana completa

Acunetix verifica :
Configurao do Web server
Configurao da tecnologia Web (.NET, PHP etc)
Port scanner & Network Alerts

Combating the web vulnerability threat www.acunetix.com

 Gerao de Relatrios

Relatrios de compliance e
auditoria
- OWASP-Top 10
- PCI-DSS entre outros
Relatrios para o desenvolvedor
Relatrios comparativos
Exporta relatrios para PDF ,
HTML, etc

Combating the web vulnerability threat www.acunetix.com

 Apresentao Tcnica

Como agem os hackers? Configurao - Acunetix WVS

O que um Scanner de ambiente Web ? Application Settings
Acunetix WVS Perfis para escaneamento
Scan Wizard
Resultados do Escaneamento
Relatrios do Escanemanto
Funcionalidades - Acunetix WVS
Target Finder
Site Crawler
Tecnologia AcuSensor
Port Scanner & Network Alerts
HTTP Editor
HTTP Fuzzer
HTTP Sniffer
Blind SQL Injector
Authentication Tester
Compare os resultados

Combating the web vulnerability threat www.acunetix.com

 Como agem os hackers ?

Hackers usam um plano sistemtico de ao :

1. Estudam a infraestrutura operacional (sistema operacional e
tipos de servidores) .
2. Pesquisam o website/ aplicao WEB
3. Identificam a presena de vulnerabilidades
4. Planejam e executam o ataque
Acunetix WVS atua de forma contnua na identificao de
vulnerabilidades na aplicao WEB e/ou na tecnologia WEB (PHP,
Apache,etc) e/ou um determinado servidor WEB e/ou ainda qualquer
servio de rede (DNS, FTP, etc) que roda no servidor WEB.

Combating the web vulnerability threat www.acunetix.com

Como os hackers planejam seus ataques....

Combating the web vulnerability threat www.acunetix.com

Tcnicas de hacking mais ativas

Mtodos estticos conhecidos: Mtodos dinamicos desconhecidos :

Explorar vulnerabilidades em SQL Injection
aplicaes Web Cross-site Scripting
Directory & Link Traversal
Enurmerao de diretrios File Inclusion
Exposio de cdigo-fonte
Explorar vulnerabilidades em Execuo de cdigo
servidores Web Common File Checks
Manipulao de parametros
Explorar vulnerabilidades em Criao ou deleo de arquivos de
tecnologia Web (ex : PHP) forma arbitrria
CRLF Injection
Explorar vulnerabilidades em servios Path Truncation
de rede (ex: DNS, FTP, SMTP)
Engenharia reversa de Java Applet
Session Hijacking
Ataques de autenticao
Google Hacking Database

A soluo Acunetix WVS identifica todos os

mtodos acima descritos e muito mais....

Combating the web vulnerability threat www.acunetix.com

O que um Scanner de ambiente Web ?

Hacking so formas de ataques maliciosos contra aplicaes-Web.

Qualquer usurio visitando um website pode ser um hacker em potencial ...
Por isso, uma abordagem de preveno a primeira linha de defesa.
Um Scanner de ambiente WEB uma ferramenta automtica de
segurana que identifica vulnerabilidades em aplicaes WEB ou
tecnologias WEB ou servidores-WEB.

Combating the web vulnerability threat www.acunetix.com

A que se propem a soluo
WVS-ACUNETIX ?
Acunetix WVS um Scanner-WEB que possibilita efetuar checagens
automticas e manuais na identificao de vulnerabilidades .

Acunetix WVS usa mtodos dinamicos para replicar ataques de

hackers utilizando maneiras no-destrutivas. Acunetix WVS uma
ferramenta essencial para identificar vulnerabilidades em suas
aplicaes Web e servidores-Web.

Combating the web vulnerability threat www.acunetix.com

Acunetix WVS

Acunetix WVS um Scanner

que utiliza metodologia
heurstica permitindo
escaneamento & auditoria
de forma automtica e
manual.

Pela replicao de ataques

hackers de forma no
no--
destrutiva - Acunetix-
Acunetix-WVS
uma ferramenta essencial
para manter seu ambiente
livres de hackers & pragas
digitais..
digitais

Combating the web vulnerability threat www.acunetix.com

Como o Acunetix-WVS efetua a
busca por vulnerabilidades

Fase 1 - Processo de rastejamento para descobrir

vulnerabilidades
Fase 2 - Escaneamento Automtico
Fase 3 - (opcional) Testes manuais especficos
Fase 4 - Gerao Relatrios

Combating the web vulnerability threat www.acunetix.com

 ACUNETIX WVS

Resumo das principais funcionalidades

- AcuSensor Technology
- Port Scanner & Network Alerts
- Blind SQL Injector
Combating the web vulnerability threat www.acunetix.com
 Tecnologia AcuSensor

Nova tecnologia que permite a

identificao de novas
vulnerabilidades em aplicaes que
vai alm do tradicional escaneamento
caixa-preta enquanto gera menos
falso-positivos.

ACUSENSOR indica exatamente

onde est a vulnerabilidade no cdigo
e lhe mostra informaes relevantes
tais como Stack-Trace
(acompanhamento linha-a-linha do
cdigo), linha do cdigo com problema
e nome do arquivo.

Combating the web vulnerability threat www.acunetix.com

Port Scanner & Network Alerts

Executa scan de portas no servidor

Web e testes de segurana nos
servios que rodam nessas portas
tais como : DNS open recursion
tests, configurao incorreta em
proxy-servers, open relay SMTP
servers - e muito mais...

Escreva o seu prprio teste de

segurana usando a tecnologia
Microsoft Active Scripting e use o
nosso script como referencia.

Combating the web vulnerability threat www.acunetix.com

Blind SQL Injector

Ideal para testes de

penetrao , o Blind SQL
injector uma ferramenta de
extrao de dados
automatizada para realizao
de testes manuais e melhor
depuramento da
vulnerabilidade SQL-Injection

Combating the web vulnerability threat www.acunetix.com

Funcionalidades adicionais

Funcionalidade de Pausa e
Recomeo do Escaneamento
Opo para marcar alertas como
falso-positivo
Suporte ao NTLM V2
Scanner agora pode agregar a
lista de erros incomuns
Possibilidade para localizar
rapidamente uma vulnerabilidade
pelo uso de filtros
Todas opes de escaneamento
esto agora disponiveis em
Scheduler

Combating the web vulnerability threat www.acunetix.com

Alguns de nossos clientes no BRASIL

Combating the web vulnerability threat www.acunetix.com

Muito obrigado pela sua ateno !

Referencias adicionais :
Acunetix Blog
http://www.acunetix.com/blog
Faa um tour para conhecer o WVS-Acunetix
http://www.acunetix.com/vulnerability-scanner/features.htm
Lista de verificaes feitas pelo WVS-Acunetix
http://www.acunetix.com/support/vulnerability-checks.htm

Entre em contato conosco

Sunlit Advanced Technology

www.sunlit.com.br
11-91362957 - Antonio Carlos Scola
acscola@sunlit.com.br

Combating the web vulnerability threat www.acunetix.com