产品概述

     ASEC WEB应用脆弱性评估系统（简称：WVAS）是由六壬网安安全团队多年的安全研究沉淀和服务实践经验的基础上，深入分析研究B/S架构应用系统中典型安全漏洞以及流行攻击技术，自主研发的一款用于评估WEB应用安全风险的产品。该产品严格按照计算机信息系统安全的国家标准、相关行业标准设计、编写。WVAS全面支持OWASP TOP 10检测，可以帮助用户充分了解WEB应用存在的安全隐患，建立安全可靠的WEB应用服务，改善并提升应用系统抗各类WEB应用攻击的能力（如：SQL注入攻击、跨站脚本、文件包含、远程代码执行、主流CMS漏洞检测等），在WEB网站受到危害之前为管理员提供专业、有效的安全分析和修补建议，并贴合安全管理流程对修补效果进行审计，是信息系统安全管理员不可或缺的帮手。

     产品广泛应用于政府、公安、教育、卫生、电力、金融等行业，帮助用户解决目前所面临的各类常见及最新的WEB安全问题，同时，协助用户满足等级保护、行业规范等政策法规的安全建设要求。

产品特色

      精细的资产管理
     引入以资产为导向的漏洞管理模型，实现资产风险快速定位。精细的资产管理，能够对企业的网络资产进行完整有序的梳理，主动与被动相结合的资产发现，帮助企业深度抓取IT边界及遗忘资产，并通过计算模型完成资产分级与建模，并以逻辑拓扑的形式进行组织并图形化展示。主动发现与监控安全漏洞、运维缺陷、威胁情报、人为弱点在内的企业安全风险，使得企业全网资产重要度、风险一目了然。
      领先的扫描技术
     基于内核优化、高可靠的Linux系统，采用B/S结构HTTPS通讯加密、软硬件一体化。拥有自主研发高效稳定的核心扫描引擎，综合运用智能爬虫引擎和手动爬行相结合的技术，实现URL全面抓取。产品采用主动扫描和被动扫描相结合的方式，实现网站全方位漏洞检测，解决传统Web扫描器无法的解决痛点。同时还资源动态调节、代理缓存机制和实时任务调度等领先技术，实现了对大规模网站的快速、稳定的扫描。产品会自动获取网站包含的相关信息，并全面模拟网站访问的各种行为，比如按钮点击、鼠标移动、表单复杂填充等，通过内建的"安全模型"，全面、深度、准确地检测Web应用系统潜在的各种应用弱点，有助于提高主动防御能力。
      智能的引擎调度
     采用智能的调度算法和多引擎分离技术，引擎包含任务调度、业务调度引擎、爬虫引擎和漏洞检测引擎，各引擎实现相互独立，根据引擎资源的使用情况，进行动态调整和智能的任务调度，在保证准确率的前提下大幅提高了检测的速度。
      强大的漏洞取证功能
     产品拥有漏洞取证功能，支持当前各种主流的数据库如（Mysql、Oracle、MSSQL、DB2、Informix、Sybase、PostgreSQL、Access、 Ingres、Sqlite等）。通过当前弱点，模拟黑客使用的漏洞发现技术和攻击手段，对目标WEB应用的安全性做出深入分析，并实施无害攻击，取得系统安全威胁的直接证据。帮助使用工具的人员对Web安全的理解，验证漏洞是否存在危害。因此，如果Web应用脆弱性评估系统能自动利用检测出来的漏洞取得系统安全威胁的直接证据的话，将极大帮助工具使用人员。

      丰富的漏洞知识库
     产品拥有齐全漏洞知识库，WEB漏洞库条数保持国内领先，全面支持并兼容CVE、CWV等国际标准，全面支持OWASP TOP 10检测，支持对当前各种主流的WEB应用、操作系统、数据库、应用服务、国内外主流CMS及各类第三方组件等漏洞检测，扫描快速、准确。

      多视角的风险评估
     采用多视角风险评估模型，通过横向和纵向对比分析，可以方便直观地了解网站当前安全状况以及安全趋势。系统提供了安全评估和风险自评两种模式，既可以周期性的进行全面安全检测，还可以结合实际业务系统进行深入的安全评估。产品还可以通过历史扫描结果进行趋势分析，更深入了解Web站点的安全态势。
      人性化的报表展示
      产品支持常规报表、行业报表（OWASP Top 10）、等级保护合规性报表、趋势分析报表。直观的统计分析，完备的风险评估，并提供多层次、多角度分析视角，满足不同管理角色需求的详细的脆弱点分析报表。同时，系统支持各类格式输出，并可自定义内容。

      多元化的升级方式
     升级频率：每周一次漏洞库升级。
     升级方式：支持离线、在线、定时升级，满足各种应用场景。
     重要安全漏洞的实时通知公告。

部署方式

     网络层即插即用无需改变拓扑结构，支持多种灵活的部署方式，定期地对目标网站进行检测，同时给出相应的解决建议，用户根据这些解决建议来做出相应的防护。