威努特工控漏洞扫描平台IVS_Web应用漏洞扫描系统

威努特工控漏洞扫描平台IVS

威努特工控漏洞扫描平台IVS，全面、精准检测信息系统中存在的各种脆弱性问题，在信息系统受到危害之前为管理员提供专业、有效的漏洞分析和修补建议，防患于未然。采用B/S设计架构，SSL加密方式通信，无须安装客户端，用户可通过浏览器远程管理系统。

立即咨询

首页 > 产品中心 > 工控安全 > 威努特工控漏洞扫描平台IVS

产品背景

「漏洞的影响」

漏洞会影响到很大范围的软硬件设备，包括操作系统本身及其支撑软件，网络客户和服务器软件，网络路由器和安全防火墙等。

「漏洞的危害」

利用安全漏洞进行网络攻击的互联网安全问题，始终伴随着互联网行业的应用发展。近些年，攻击方式从单个兴趣爱好者随意下载的简单工具攻击，向有组织的专业技术人员专门编写的攻击程序转变，攻击目的从证明个人技术实力向商业或国家信息窃取转变。

「漏洞修复的必要」

及时安装合适的软件补丁，可以避免95%以上的网络入侵。而且，很多安全漏洞、错误配置是可以通过网络漏洞管理系统进行检测与发现的，并通过漏洞修复和加固，防患于未然。因此，一个自动化、全局性的网络漏洞管理系统对用户就显得十分必要。

产品介绍

全面、精准检测信息系统中存在的各种脆弱性问题，在信息系统受到危害之前为管理员提供专业、有效的漏洞分析和修补建议，防患于未然。

产品架构

「系统架构」

威努特漏扫系统集成系统漏洞扫描、Web应用扫描、镜像扫描、移动APP扫描、基线核查、资产探测于一体。采用B/S设计架构，SSL加密方式通信，无须安装客户端，用户可通过浏览器远程管理系统。

漏洞扫描

核心功能

主机扫描
威努特漏扫系统能够全方位、多侧面对主流的操作系统、数据库、应用服务、虚拟化平台、工控系统等进行实时、定期的系统漏洞扫描和分析，具备的漏洞特征库大于260000条

web应用扫描
威努特漏扫系统具备强大的Web应用漏洞安全检测能力，全面支持对主流Web漏洞的识别与扫描，能够扫描的Web漏洞大于10000种

基线配置核查
威努特漏扫系统具备先进的安全基线配置核查能力，可以对目标系统进行自动化的基线检测、分析，并提供专业的配置加固建议与合规性报表

镜像扫描
威努特漏扫系统直接输入镜像标签扫描，支持输入仓库信息自动拉取镜像列表并扫描，支持获取镜像中包列表，支持获取镜像漏洞列表

移动APP扫描
威努特漏扫系统对安卓、IOS上的移动应用（APP）进行漏洞扫描，采用静态分析的方式，准确发现APK中存在的组件安全、配置安全、数据安全和恶意行为等安全风险

资产管理

WEB应用漏洞扫描

漏洞全识别
全面识别SQL注入漏洞、命令注入漏洞、CRLF注入漏洞、LDAP注入漏洞、XSS跨站脚本漏洞、路径遍历漏洞、信息泄漏漏洞、URL跳转漏洞、文件包含漏洞、应用程序漏洞、文件上传漏洞等。

智能报表
可以预定义、自定义和多角度多层次的分析扫描结果。输出的报表格式包括HTML、DOC、XLSX等。

漏洞修复
提供可操作性很强的漏洞修复方案，包括系统的安全配置建议和补丁的有效下载链接，方便用户及时、高效地对漏洞进行修复。

WEB应用漏洞扫描

WEB应用漏洞扫描

隐匿站点探测，暴露面风险一览无余

仅系统资产识别

涵盖客户网络环境中的服务器、网路设备、防火墙、打印机、PC等设备

系统+Web资产识别

识别服务器、网路设备、防火墙、打印机、PC等系统资产，识别客户网络环境中的Web资产，弥补了传统扫描器对网站、业务系统等Web资产的识别缺陷

WEB应用漏洞扫描孤岛文件扫描能力 icon

漏洞扫描系统通过超链接相互关联(URL)，网络爬虫基于此规律工作。然而对于恶意程序，不会与Web系统的链接建立URL链接，俗称孤岛文件。孤岛文件具备较强的破坏力,常常木马、后门等恶意程序。爬虫对孤岛文件无能为力是传统扫描器的天然缺陷。

WEB应用漏洞扫描会话录制解决爬虫局限问题 icon

爬虫的工作原理是通过模拟在浏览器上自动点击链接的方式来爬取网站网页，会话录制功能可以解决爬虫无法通过链接获取网页信息的问题，典型代表有以下三种，其中特殊网站代指如带验证码网站、无法通过超链接跳转访问的网站。

数据库漏洞扫描

扫描目标： PostgreSQL 、Oracle、Mysql、SQL Server 、DB2、达梦、人大金仓等常见数据库和信创数据库；扫描方式：远程扫描或授权登录扫描；检测问题：缓冲区溢出、提权、任意文件删除、信息泄露、拒绝服务、内存泄露等漏洞。

安全基线

弱口令扫描模块一个弱口令抵得上所有的漏洞的危害 icon

移动APP扫描& Docker镜像扫描 icon

高交互爬虫引擎

1、动态爬虫与静态爬虫结合，可实现对前后端分离结构网站的扫描，如vue、react等前端架构写的网站。

2、提供被动扫描功能，除了可以实现cookie录制外，还可以手动点击触发将URL传递给扫描引擎。

内置反连平台

传统漏洞扫描系统基于执行命令输出特定的内容来证明漏洞的存在，对于log4j rce，fastjson rce等无回显命令执行漏洞无法验证。威努特漏扫系统在基于执行命令输出特定的内容来证明漏洞的存在的同时，通过内置的反连平台检测有没有对应目标的连接信息来判断有没有无回显命令执行漏洞。

全局攻击面管理

提供全局视角，展示所有暴露的端口、服务、组件。提供端口维度、漏洞维度等多维度统计分析。

完善的漏洞管理流程

遵循“漏洞生命周期”原理，记录漏洞从首次发现到修复全流程。

全面的技术方案

降低扫描器的漏报率、误报率，单从扫描本身出发考虑是不够的。漏洞扫描系统从“资产识别->漏洞检测->漏洞验证”的扫描链条出发，通过每一个环节的能力提升实现整体扫描能力提升、误报率漏报率降低。

自动化漏洞验证能力

产品亮点

领先、丰富的漏洞知识库
漏洞知识库涵盖了各种主流操作系统、应用服务、网络设备、数据库、工控系统、大数据组件、虚拟化平台系统等，漏洞知识库数量国内领先，其中系统漏洞知识库的检测脚本大于260000条、WEB漏洞知识库的检查策略大于10000条

专业、直观的报表管理
系统扫描结果通过灵活的报表呈现给用户，支持各类格式输出，并提供漏洞分级、相应加固建议方案内容。提供定性的趋势分析、定量的风险分析，更加直观地了解当前网络安全状况。

全面、统一的漏洞扫描
远程安全扫描系统能够全面、精准地检测出网络中存在的各类脆弱性风险，提供专业、有效的安全分析和修补建议，防患于未然

完备、可信的闭环管理
公司研究团队遵循“漏洞生命周期”原理，把漏洞管理的循环过程划分为漏洞预警、漏洞扫描、漏洞修复、漏洞审计，为用户提供快速、高效的漏洞发现及修复方式。

产品介绍「主要业务流程」 icon

资产梳理
主机、数据库、中间件、网络设备等全网资产发现

安全检查
漏洞扫描、基线核查、web扫描、移动扫描一体化

效果验证
检验效果对比，主动自测，效果评估

风险分析
网络风险及安全隐患分析定位，针对性处置建议

产品介绍

1、提供iso、qcow2 等多种交付方式。2、提供基于授权管理服务器(LMS)的授权管理方式，无需每台设备单独授权，可通过LMS统一管理授权。

单机部署

部署说明：

适用于网络较为集中，独立使用，中小型规模的网络环境

部署优势：

与被检测环境通信可达即可，部署方便“无损”部署，不影响客户网络和业务

应用场景漏洞是衡量网络安全最直接的指标 icon

《网络安全法》第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。第三十八条，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。《信息系统安全等级保护要求》标准文件明确要求，应定期进行网络系统漏洞扫描，对发现的网络系统安全漏洞进行及时的修补。