VulHunter – 灰盒安全测试

产品概述

SecZone VulHunter 灰盒安全测试工具(以下简称VulHunter)是国内首款基于“交互式应用安全测试(IAST)”技术的全新 一代“灰盒”代码审计、安全测试和第三方软件检测产品,由国内领先的软件安全开发生命周期(S-SDLC)解决方案提供商 SecZone自主研发,拥有自主知识产权。IAST是近年来兴起的一项新技术,被Gartner公司列为信息安全领域的Top10技术之一。

产品功能

VulHunter适用于软件产品开发和测试阶段,可由开发工程师和测试工程师在执行功能测试的同时,无感知的“零成本”完成安全测试。整个过程无需安全专家介入,无需额外安全测试时间投入,不会对现有开发流程造成任何影响,符合敏捷开发和DevOps模式下软件产品快速迭代、快速交付的要求。
VulHunter可实时检测的web应用安全漏洞包括但不限于:XSS、命令注入、SQL注入、CSRF、不安全的URL跳转、不安全的加解密和Hash算法、目录遍历、敏感信息泄露、文件操作类漏洞、使用的第三方软件库漏洞、Hardcode key/password等。

产品优势

l 无缝集成开发流程的安全弱点检测

在功能测试的同时,“零人工成本”完成安全弱点检测。
支持企业级的多项目并发检测。

l 依赖库的安全态势感知

 支持对应用程序所依赖的第三方库版本信息的检测。
 支持对第三方库所包含的CVE漏洞的检测。

l 完备的安全弱点详情

 提供数据流、堆栈和请求信息,可定位到代码。
专业的修复建议,便于安全弱点的定位、分析和修复。

l 企业级的安全弱点管理

 安全弱点信息多维度统计和可视化展示。
 安全弱点信息加密存储和细粒度的权限控制。 

行业应用场景 

| 政府部门软件系统采购验收

政府主管部门对下属部门或分支机构统一组织开展软件系统的采购验收工作,以检测将使用的软件系统是否自带安全弱点,避免潜在的网络安全事件。通常,软件包从下属部门或分支机构提交至主管部门,再由主管部门统一组织检测,整个过程费时费力,且对已识别安全弱点是否修复难以追踪。VulHunter通过集中化、细颗粒的安全检测管理,支持对多个不同项目的软件包同时执行安全检测,及时掌握软件系统供应商的安全弱点修复情况,助力主管部门完成采购验收工作。 



| 银行金融业务系统研发安全保障

随着金融科技的快速发展,银行正紧锣密鼓的开展新一轮的信息系统建设工作。大批新型金融业务系统正在总行科技部和研发中心的统筹规划与有序组织下开发。然而,众多金融业务系统需要在敏捷开发过程中由安全团队执行全面的安全检测,而复杂系统的安全检测耗时长,甚至在临近版本发布才完成安全检测,从而缺乏充足的时间修复识别的问题。VulHunter基于“交互式应用安全测试(IAST)”技术,在执行功能测试的同时,无感知完成安全测试。整个过程无需安全专家介入,无需额外安全测试时间投入,符合敏捷开发和DevOps模式下软件产品快速迭代、快速交付的要求,使S-SDLC体系能够更好的落地。


| 证券公司业务系统安全检测

证券交易系统通常是由一个核心系统与多个应用系统关联组成,以实现证券交易的及时性、准确性和保密性。而证券公司在相关系统的研发过程中往往大量引入外包开发,开发过程质量和系统安全内建得不到保障,而偏重于运维端的安全投入无法100%覆盖证券交易的业务连续性。VulHunter将安全投入提前至应用系统的开发阶段,在开发过程中实现快速、全面的系统安全弱点检测;助力证券公司逐步形成一套有效的业务安全保障体系。 

VulHunter环境测试工具(点击下载)