DefenseCode是一家AST（應(yīng)用程序安全測(cè)試）領(lǐng)域的專業(yè)供應(yīng)商，專注于信息安全咨詢與缺陷研究。DefenseCode提供的產(chǎn)品旨在使用動(dòng)態(tài)應(yīng)用程序安全測(cè)試(DAST、黑盒測(cè)試)和靜態(tài)應(yīng)用程序安全測(cè)試(SAST、白盒測(cè)試)技術(shù)，分析和測(cè)試應(yīng)用程序的安全漏洞。DefenseCode在滲透測(cè)試、零日漏洞研究、安全審計(jì)和源代碼安全分析方面有豐富的經(jīng)驗(yàn)。

        軟件漏洞是公司或組織所面臨的嚴(yán)峻安全挑戰(zhàn)。黑客會(huì)利用軟件漏洞危害公司安全，造成信息、金錢上的損失，擾亂業(yè)務(wù)運(yùn)作。這樣的事故會(huì)造成各種直接或間接的損害，包括負(fù)面公關(guān)以及客戶喪失信心等。根據(jù)《福布斯》雜志2018年的數(shù)據(jù)，數(shù)據(jù)安全漏洞造成的平均損失為791萬美元。

        為此，DefenseCode的產(chǎn)品提供了軟件漏洞檢測(cè)的解決方案：在開發(fā)期間進(jìn)行測(cè)試——靜態(tài)應(yīng)用安全測(cè)試（SAST，白盒測(cè)試），以及在軟件部署之后進(jìn)行的測(cè)試——?jiǎng)討B(tài)應(yīng)用安全測(cè)試（DAST，黑盒測(cè)試）。

DefenseCode ThunderScan——針對(duì)信息安全的代碼靜態(tài)分析工具

• 產(chǎn)品介紹

• 廣泛的適用性

        ThunderScan可以在服務(wù)器上部署為Web應(yīng)用，并通過網(wǎng)頁方便地訪問，并提供強(qiáng)大的REST API以供通過Windows、Linux或Mac平臺(tái)進(jìn)行調(diào)用。也可以直接部署為Windows桌面版。ThunderScan支持與Git、TFS、SVN等版本控制系統(tǒng)進(jìn)行集成，便于代碼管理。

• 漏洞覆蓋

1. SQL 注入
2. XPATH注入
3. 文件泄漏
4. 郵件轉(zhuǎn)發(fā)
5. 跨站腳本攻擊
6. 弱加密
7. 危險(xiǎn)配置項(xiàng)
8. 代碼注入
9. 危險(xiǎn)的文件擴(kuò)展名
10. Shell命令執(zhí)行
11. HTTP響應(yīng)分拆攻擊
12. 信息泄漏
13. LDAP注入

DefenseCode Web Security Scanner——?jiǎng)討B(tài)Web應(yīng)用安全掃描工具

• 產(chǎn)品功能

        DefenseCode WebScanner是一個(gè)動(dòng)態(tài)應(yīng)用程序安全測(cè)試（DAST，黑盒測(cè)試）解決方案，用于對(duì)動(dòng)態(tài)的web應(yīng)用程序（網(wǎng)站）進(jìn)行安全審計(jì)。WebScanner將像真正的攻擊者一樣，使用先進(jìn)的技術(shù)進(jìn)行大量攻擊，從而測(cè)試網(wǎng)站的安全性。

        無論web應(yīng)用程序的開發(fā)平臺(tái)是什么，都可以使用DefenseCode WebScanner。即使源代碼已不再可用，也可以使用它。WebScanner支持HTML、HTML5、web 2.0、AJAX/jQuery、JavaScript和Flash等主要web技術(shù)。它能夠針對(duì)各種web服務(wù)器和web技術(shù)上的漏洞，執(zhí)行5000多個(gè)通用缺陷和曝光測(cè)試，并能夠發(fā)現(xiàn)50多個(gè)漏洞類型，其中包括OWASP Top 10。

• 優(yōu)勢(shì)

• 漏洞覆蓋

1. SQL 注入
2. XPATH注入
3. 文件泄漏
4. SQL盲注
5. 跨站腳本攻擊
6. 緩沖區(qū)溢出
7. 危險(xiǎn)的文件擴(kuò)展名
8. Shell命令執(zhí)行
9. HTTP響應(yīng)分拆攻擊
10. 信息泄漏
11. LDAP注入