Webアプリケーションにセキュリティ上の欠陥がないか徹底的に調べる
Syhunt Dynamicは、Webアプリケーションのセキュリティ脆弱性を検出し、最小限の労力で修正するための様々な機能を備えています。開始URLを入力するだけで、すぐに詳細な脆弱性情報を取得することができます。
Syhunt Dynamicは、Webサイトの構造を完全にマッピングできるディープクローラーと、拡張動的解析(OAST)による推論攻撃、インバンド攻撃、アウトオブバンド攻撃など、現実世界の敵がよく行う数千種類のWeb攻撃に対するWebアプリケーションの反応を適応、変異、分析、テストできる自動インジェクターで構成されています。WindowsとLinuxを使用する企業向けに、オンプレミスで展開可能です。
製品特徴
ディープクローラー
Syhunt Dynamicは、Webサイト全体の構造(すべてのリンク、フォーム、XHRリクエスト、その他のエントリポイント)をマッピングし、幅広い攻撃のシミュレーション/数千のリクエストの送信により、カスタムでユニークな脆弱性を見つけます。スキャナーは、Chrome、Firefox、IEのように動作し、ユーザーのインタラクション(キープレス、マウスクリックなど)までもシミュレートします。
アドバンストインジェクター
SQL インジェクション、XSS、ファイルインクルージョン、その他多くのWebアプリケーション脆弱性クラスをテストします。スキャン実行中、Syhunt はWebアプリケーションにデータを注入し、その後、アプリケーションコードが脆弱であるかどうかを判断するために、アプリケーションの応答を分析します。
コード解析拡張
Syhunt Hybrid から使用する場合、Syhunt Dynamic scanner はWebアプリケーションセキュリティテストの範囲を拡大し、Webアプリケーションのソースコードもカバーすることが可能です。対応言語は、ASP、Java、JS、Lua、Perl、PHP、Python、Rubyです。
詳しくみるインテグレーション
Syhunt Dynamicは、継続的インテグレーション(CI)のためのGitLabやJenkins、課題追跡のためのJIRAやGitHub、仮想脆弱性パッチのためのImperva SecureSphereやF5 BIG-IP Application Security Manager(ASM)などと統合しています。
CVSSサポート
Syhunt Dynamicは、脆弱性の重要性を伝え、対応の緊急性や優先度を判断するための業界標準であるCommon Vulnerability Scoring Systemをフルサポートしています。レポート作成時には、デフォルトでCVSS3スコアに基づき脆弱性がソートされます。
あらゆる種類のWeb環境をスキャン
Syhunt Dynamic は、あらゆるWeb環境を、あらゆる場所でサポートするために必要な、柔軟性と汎用性を備えています。複雑で大規模なWebサイトをインテリジェントに処理し、異なるWeb環境と技術に自動的に適応するように設計されています。
Webサイトをスパイダリングして脆弱性を発見する際、Syhunt Dynamicは最新のHTML 5対応Webブラウザをエミュレートし、すべてのWebアプリケーションを完全にテストすることができます。Syhunt のブラウザエミュレーション機能は以下の通りです。
- インテリジェントなHTMLパース(Webブラウザのように不正なHTMLを処理する機能)
- JavaScriptのエミュレーション(Chrome、Firefox、IEのように動作させる機能)
- ユーザーインタラクションシミュレーション(キープレス、マウスクリックなど)
- HTML5対応
- CSS 3 対応
- XHRリクエスト対応
- 自動フォーム入力&フォームログイン
- プロセス分離/マルチプロセススキャン(開始する各Webサイトのスキャンは、オペレーティングシステム上で異なるプロセスです。)
- クッキー(Cookie)対応
- HTTPS対応(SSL 2/SSL 3/TLS 1)
- 証明書対応
- 基本認証とNTLM認証のサポート
- HTTP 1.0および1.1対応
- Keep-Alive対応
- HTTPリダイレクト対応
上位の脆弱性をチェック
Syhunt Dynamicは、Webアプリケーションに対して攻撃者が使用するトップレベルの脆弱性をスキャンすることができます。
OWASP TOP 10
OWASP Top Ten は、早急な対処が必要な脆弱性のリストです。これらの脆弱性は、攻撃者によって積極的に狙われているため、既存のコードも直ちにチェックする必要があります。OWASP財団は、Webアプリケーションを保護するための最低基準として、OWASP Top Tenを採用することを企業に推奨しています。
CVEとCWEについて
Syhuntスキャナは、CVE(Common Vulnerabilities and Exposures)とCWE(Common Weakness Enumeration)を完全にサポートしており、Webアプリケーションに関連するCWEトップエントリをスキャンすることができます。Syhuntは、Mitre CorporationのCVE対応製品・サービスリストにも掲載されています。Mitre Corporationは、この規格自体の作成者です。
SANS TOP 20
SANS Top 20には、セキュリティ上の欠陥を修正するために有効なステップバイステップの手順と追加情報へのポインタが含まれています。SANS Instituteは、より重大な脅威や、より最新で便利な保護方法が確認された場合、リストと説明書を更新します。これは、コミュニティの合意文書です。
コンプライアンス監査
Syhuntは、以下のような差し迫ったコンプライアンス問題への対処を支援します。
- 医療保険の相互運用性と説明責任に関する法律 (HIPAA)
- グラム・リーチ・ブライリー法(GLBA: Gramm-Leach-Bliley)
- ペイメントカード産業(PCI)データセキュリティ基準 ISO/IEC 27001
- CA-SB1
- サーベンス・オクスリー法
対応言語
ASP Classic ASP.Net Java / JSP JavaScript Lua Perl PHP Python Ruby
お客様の声-
最高のWebアプリセキュリティ評価ツールです。新しい脆弱性が発生すると、迅速に更新され、非常に使いやすい。
Stealth-ISS CEO ロバート・デイヴィス 氏
Syhuntは、現在、市場で最も効果的で価値のあるツールの一つです。
Solutionary社 セキュリティエンジニアII
マット・マクダーモット 氏
ニュース記事
Syhuntのようなツールは、アプリケーションの脆弱性をより簡単に検出することができ、もはや「ハッカー」レベルのスキルセットを必要としません。
SC Magazine
私たちは、GUIとSyhuntのユーザーモデルのシンプルさが気に入りました。この製品の開発チームと一緒に仕事をすることで、非常に良い経験ができました。
Web Hacking Exposed
