57337.com

        DefenseCode是一家AST（应用程序安全测试）领域的专业供应商，专注于信息安全咨询与缺陷研究。DefenseCode提供的产品旨在使用动态应用程序安全测试(DAST、黑盒测试)和静态应用程序安全测试(SAST、白盒测试)技术，分析和测试应用程序的安全漏洞。DefenseCode在渗透测试、零日漏洞研究、安全审计和源代码安全分析方面有丰富的经验。

        DefenseCode产品提供的App漏洞检测解决方案：在开发期间进行测试——静态应用安全测试（SAST，白盒测试），以及在App部署之后进行的测试——动态应用安全测试（DAST，黑盒测试）。

DefenseCode ThunderScan——针对信息安全的代码静态分析工具

• 产品先容

        DefenseCode ThunderScan是一个SAST(静态应用程序安全测试、白盒测试)解决方案，用于对应用程序源代码实行广泛的安全分析。ThunderScan易于使用，几乎不需要用户输入，可以在开发期间或开发之后部署。它可以通过自动化代码分析的方式，有效替代高要求并且耗时的人工代码审查过程。ThunderScan可以快速并准确地分析大型和复杂项目的源代码，提供精确的结果和低误报率。

• 广泛的适用性

       DefenseCode ThunderScan支撑C/C++、C#、Java、PHP、ASP、VB.Net、Visual Basic、VB Script、Python、Ruby、JavaScript、TypeScript、Node.js、Android Java、IOS Objective C、PL/SQL、 ColdFusion、Groovy、COBOL等多种开发语言/框架，覆盖当前多数开发平台。
        ThunderScan可以在服务器上部署为Web应用，并通过网页方便地访问，并提供强大的RESTAPI以供通过Windows、Linux或Mac平台进行调用。也可以直接部署为Windows桌面版。ThunderScan支撑与Git、TFS、SVN等版本控制系统进行集成，便于代码管理。

• 漏洞覆盖

        ThunderScan能够为使用不同开发环境和框架，在不同平台上开发的应用程序扫描多达30多种漏洞类型（其中包括OWASP Top10），其中一些如下：

? SQL注入
? XPATH注入
? 文件泄漏
? 邮件转发
? 跨站脚本攻击
? 弱加密
? 危险配置项
? 代码注入
? 危险的文件扩展名
? Shell命令实行
? HTTP响应分拆攻击
? 信息泄漏
? LDAP注入

DefenseCode WebStrike——动态 Web应用安全扫描工具

• 产品功能

        DefenseCode WebStrike是一个动态应用程序安全测试（DAST，黑盒测试）解决方案，用于对动态的web应用程序（网站）进行更全面的安全审计。WebStrike将像真正的攻击者一样，使用较先进技术进行大量攻击，从而测试网站的安全性。
       无论web应用程序的开发平台是什么，都可以使用DefenseCode WebStrike。即使源代码已不再可用，也可以使用它。WebStrike支撑HTML、HTML5、web2.0、AJAX/jQuery、JavaScript和Flash等主要web技术。它能够针对各种web服务器和web技术上的漏洞，实行5000多个通用缺陷和曝光测试，并能够发现50多个漏洞类型，其中包括OWASP Top10。

• 优势

        DefenseCode WebStrike有简洁而现代化的用户界面，并且操作简便。用户只需要输入被测网站的url，WebStrike就能模仿黑客的行为，展开渗透测试。借助更全面的Web爬虫技术和快速的扫描引擎，WebStrike能够快速地对Web应用进行安全扫描，并且能够支撑JavaScript以及Flash。在测试完成之后，还能够自动生成完备而美观的报告。

• 漏洞覆盖

        目前，WebStrike能够发现超过50种Web应用安全缺陷（其中包括OWASP Top10）。其中一些列举如下：

? SQL注入
? XPATH注入
? 文件泄漏
? SQL盲注
? 跨站脚本攻击
? 缓冲区溢出
? 危险的文件扩展名
? Shell命令实行
? HTTP响应分拆攻击
? 信息泄漏
? LDAP注入

应用&案例