Acunetix Premium представляет собой платформу класса DAST (Dynamic Application Security Testing), основной целью которой является автоматизация процессов выявления и контроля известных уязвимостей в веб-приложениях (сайтах). Согласно заявлениям разработчиков, продукт подойдёт как крупным компаниям, так и мелким.
- Обнаружение веб-приложений: сразу после установки платформа обратится к DNS-серверам и найдёт все домены, которые как-либо связаны с именем компании, её основным доменом и IP-адресами. Список будет представлен с удобными инструментами для фильтрации, а также кнопкой для отправки найденных доменов в очередь на сканирование.
- Составление карты веб-приложений: аналогично тому, как поисковые роботы исследуют веб-сайты, Acunetix найдёт все страницы, ссылки, формы, подключённые сценарии и статические файлы, а в случае использования JavaScript-фреймворка проанализирует ViewState, открыв веб-приложение в виртуальном веб-браузере и нажимая по активным элементам виртуальной мышью. В случае если приложение представляет собой WEB-API, узнать список методов и параметров поможет подготовленная документация / схема такого API в любом подходящем формате: от SWAGGER и WSDL до обычного CSV.
- Каждый из собранных адресов (если в настройках не указано иное) будет просканирован на наличие известных уязвимостей: будут проверены параметры, файлы cookie, технические заголовки, отправка форм. Файлы внутри приложения также скачиваются и сканируются антивирусом ClamAV или Microsoft Defender, в зависимости от используемой операционной системы, чтобы убедиться, что веб-приложение не было уже заражено к моменту сканирования.
- Подготовка отчёта с рекомендациями для разработчиков и специалистов по ИБ. Отчет доступен в PDF, HTML, а также в виде задач, отсортированных по степени важности. Риск ложного срабатывания крайне низок — каждая уязвимость из отчёта безопасно проверяется на эксплуатируемость, чтобы не приходилось тратить время специалистов на проверку отчёта и можно было сразу отдать результаты в работу.
- Чтобы защитить веб-приложение на время, пока разработчики исправляют найденные уязвимости — со всеми тестами перед публикацией это может занять до нескольких недель, — Acunetix Premium предоставит отчёт в виде правил для WAF (AWS, ModSecurity, Citrix, F5 BIG-IP ASM, FortiWeb, Imperva SecureSphere и т. д.).