綠盟科技WEB應(yīng)用漏洞掃描系統(tǒng)銷(xiāo)售培訓(xùn)內(nèi)部使用NSFOCUSWebVulnerabilityScanningSystem1賣(mài)什么2賣(mài)給誰(shuí)3怎么賣(mài)5促銷(xiāo)策略4誰(shuí)在買(mǎi)1賣(mài)什么？1.1原理和概念1.2產(chǎn)品家族1.3產(chǎn)品功能特性1.4解決方案SQL注入SQL注入攻擊者通過(guò)把SQL命令插入到Web表單遞交或輸入域名或頁(yè)面請(qǐng)求的查詢(xún)字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令。通過(guò)SQL注入，攻擊者可讀取或篡改整個(gè)數(shù)據(jù)庫(kù)的信息，甚至能夠獲得更多的包括管理員的權(quán)限。Username:adminPassword:p@$$w0rdSELECTCOUNT(*)FROMUsersWHEREusername='admin'andpassword='p@$$w0rd'Username:admin'OR1=1--Password:1SELECTCOUNT(*)FROMUsersWHEREusername=‘a(chǎn)dmin’OR1=1--‘a(chǎn)ndpassword=’1’注：’是SQL字符串變量的定界符--是SQL注釋符正常登錄異常登錄登錄成功登錄成功普通用戶WEB服務(wù)器WEB服務(wù)器黑客掃描方式：數(shù)據(jù)庫(kù)錯(cuò)誤盲注掃描組件：特征庫(kù)：包括多種常見(jiàn)的SQL注入掃描方法和針對(duì)復(fù)雜環(huán)境的繞過(guò)技術(shù)。判斷模塊：根據(jù)不同請(qǐng)求URL返回的內(nèi)容判斷是否可能存在SQL注入漏洞。URL構(gòu)造模塊：分析每個(gè)可能存在SQL注入的參數(shù)，比如Cookie,GET,POST請(qǐng)求中的參數(shù)。SQL注入掃描原理跨站腳本跨站腳本（XSS）跨站腳本攻擊指的是惡意攻擊者往Web頁(yè)面里插入惡意html代碼，當(dāng)用戶瀏覽該頁(yè)之時(shí)，嵌入其中Web里面的html代碼會(huì)被執(zhí)行，從而達(dá)到惡意用戶的特殊目的。最新促銷(xiāo)活動(dòng)沙發(fā)活動(dòng)很給力！參加活動(dòng)獎(jiǎng)勵(lì)現(xiàn)金！<script>惡意代碼</script>執(zhí)行惡意代碼①②③④⑤操作步驟：①WEB服務(wù)器發(fā)布正常信息②黑客向WEB服務(wù)器發(fā)布惡意代碼③用戶瀏覽網(wǎng)頁(yè)信息④WEB服務(wù)器將惡意代碼發(fā)至用戶⑤客戶端執(zhí)行惡意代碼黑客WEB服務(wù)器用戶組件構(gòu)造URL模塊：處理原始URL以及請(qǐng)求數(shù)據(jù)，枚舉可能出現(xiàn)XSS的情況并加上特征串，構(gòu)造出新的URL，包括修改，增加等GET請(qǐng)求，POST請(qǐng)求中的參數(shù)。上下文判斷模塊：根據(jù)特征串出現(xiàn)的位置，判斷XSS可能出現(xiàn)的上下文，不同的上下文使用的特征字符串也不同。檢查模塊：對(duì)出現(xiàn)的每個(gè)位置判斷構(gòu)造的XSS特征串是否可以被執(zhí)行或者解析。特征庫(kù)：特征字符串的集合，可以根據(jù)不同條件（上下文環(huán)境，被過(guò)濾字符，未過(guò)濾字符）跨站腳本掃描原理網(wǎng)頁(yè)掛馬網(wǎng)頁(yè)掛馬網(wǎng)頁(yè)掛馬就是攻擊者通過(guò)在正常的頁(yè)面中（通常是網(wǎng)站的主頁(yè)）插入一段代碼。瀏覽者在打開(kāi)該頁(yè)面的時(shí)候，這段代碼被執(zhí)行，然后下載并運(yùn)行某木馬的服務(wù)器端程序，進(jìn)而控制瀏覽者的主機(jī)。WEB服務(wù)器黑客用戶木馬服務(wù)器①②③④操作步驟：①黑客攻擊WEB服務(wù)器并嵌入木馬地址②用戶瀏覽網(wǎng)頁(yè)信息③WEB服務(wù)器指向木馬服務(wù)器④用戶被訪問(wèn)木馬服務(wù)器下載并運(yùn)行木馬⑤用戶主機(jī)被黑客控制⑤靜態(tài)和動(dòng)態(tài)掃描相結(jié)合靜態(tài)分析：提取頁(yè)面中包含的可疑鏈接，腳本。動(dòng)態(tài)分析：執(zhí)行javascript，跟蹤和分析腳本執(zhí)行的行為，包括是否產(chǎn)生新的鏈接，是否調(diào)用控件接口，分配內(nèi)存的大小和方式，最終確定是否是掛馬。特征庫(kù)：定義了一組行為，當(dāng)腳本執(zhí)行過(guò)程與特征庫(kù)中的一組行為匹配時(shí)，就可以判斷是否存在掛馬以及掛馬利用的具體漏洞。網(wǎng)頁(yè)掛馬掃描原理1賣(mài)什么？1.1原理和概念1.2產(chǎn)品家族1.3產(chǎn)品功能特性1.4解決方案產(chǎn)品規(guī)格參數(shù)產(chǎn)品型號(hào)

技術(shù)指標(biāo)WVSSNX3-X（機(jī)架式）WVSSNX3-P（便攜式）WVSSNX3-S（機(jī)架式）WVSSNX3-VM（軟件）OWASPTOP10分類(lèi)

WASC分類(lèi)

SQL注入檢測(cè)

跨站腳本檢測(cè)

CGI漏洞檢測(cè)

遠(yuǎn)程掛馬檢測(cè)

Web2.0檢測(cè)

Ipv6環(huán)境部署

多路掃描部署

可掃描IP地址或域名范圍50無(wú)限制無(wú)限制無(wú)限制頁(yè)面處理能力10萬(wàn)/天10萬(wàn)/天單個(gè)任務(wù)最大域名數(shù)50無(wú)限制無(wú)限制無(wú)限制最大用戶數(shù)20505050最大存儲(chǔ)任務(wù)數(shù)100015001500基礎(chǔ)報(bào)表

儀表盤(pán)

高級(jí)數(shù)據(jù)分析

系統(tǒng)管理

2013Q1上市2013Q3上市WVSSNX3-X側(cè)視圖硬件視圖WVSSNX3-P側(cè)視圖WVSSNX3-S側(cè)視圖1賣(mài)什么？1.1原理和概念1.2產(chǎn)品家族1.3產(chǎn)品功能特性1.4解決方案產(chǎn)品定位專(zhuān)業(yè)高效全面綠盟WEB應(yīng)用掃描系統(tǒng)—高可信度、高效的WEB應(yīng)用漏洞掃描器。支持多種WEB應(yīng)用類(lèi)型檢測(cè)支持OWASPTOP10、WASC漏洞分類(lèi)快速精確的掃描技術(shù)高效穩(wěn)定的掃描引擎漏洞驗(yàn)證技術(shù)專(zhuān)家級(jí)統(tǒng)計(jì)分析報(bào)告漏洞誤報(bào)修正功能WAF聯(lián)動(dòng)技術(shù)1.支持Web2.0、SSL—覆蓋各企事業(yè)單位門(mén)戶網(wǎng)站、電子政務(wù)互動(dòng)平臺(tái)、政務(wù)信息公開(kāi)服務(wù)系統(tǒng)等；—覆蓋社區(qū)論壇、內(nèi)容管理系統(tǒng)(CMS)和電子商務(wù)應(yīng)用等Web應(yīng)用平臺(tái)；—支持HTTP1.0和1.1標(biāo)準(zhǔn)的Web應(yīng)用系統(tǒng)；—支持Web2.0，支持Ajax、Flash、JS等腳本解析；—支持基于HTTPS的Web應(yīng)用系統(tǒng)；—支持所有類(lèi)型的動(dòng)態(tài)及靜態(tài)頁(yè)面；

—支持PHP、ASP、.NET和Java等開(kāi)發(fā)環(huán)境的Web應(yīng)用系統(tǒng)；—支持基于basic、NTLM、Cookie、SSL等認(rèn)證方式的Web應(yīng)用系統(tǒng)。全面的Web應(yīng)用安全檢測(cè)2.支持OWASPTOP10、WASC分類(lèi)—漏洞檢測(cè)類(lèi)型覆蓋OWASPTOP10和WASC分類(lèi)，支持網(wǎng)頁(yè)掛馬檢測(cè)；—漏洞兼容CVE、BUGTRAQ、NSFOCUS、CNNVD、CNCVE、CVSS、CNVD等標(biāo)準(zhǔn)。全面的Web應(yīng)用安全檢測(cè)A1-注入A2-跨站腳本（XSS）A3-錯(cuò)誤的認(rèn)證的會(huì)話管理A4-不正確的直接對(duì)象引用A5-偽造跨站請(qǐng)求（CSRF）A6-安全性無(wú)配置A7-限制遠(yuǎn)程訪問(wèn)失敗A8-未驗(yàn)證的重定向的傳遞A9-不安全的加密存儲(chǔ)A10-不足的傳輸層保護(hù)客戶端攻擊類(lèi)型：跨站腳本攻擊客戶端攻擊類(lèi)型：內(nèi)容欺騙邏輯攻擊類(lèi)型：拒絕服務(wù)邏輯攻擊類(lèi)型：過(guò)程驗(yàn)證不充分命令執(zhí)行類(lèi)型:緩沖區(qū)溢出命令執(zhí)行類(lèi)型:系統(tǒng)命令執(zhí)行命令執(zhí)行類(lèi)型:LDAP注入命令執(zhí)行類(lèi)型：SQL注入命令執(zhí)行類(lèi)型：XPath注入信息泄露類(lèi)型：目錄索引信息泄露信息泄露類(lèi)型：信息泄露信息泄露類(lèi)型：目錄遍歷信息泄露類(lèi)型：資源位置可預(yù)測(cè)認(rèn)證類(lèi)型：暴力猜測(cè)認(rèn)證類(lèi)型：認(rèn)證不充分授權(quán)類(lèi)型：授權(quán)不充分授權(quán)類(lèi)型：會(huì)話期限不足……OWASP

Top10WASC高效穩(wěn)定的掃描體驗(yàn)1.快速精確的掃描技術(shù)2.高效穩(wěn)定的掃描引擎已知應(yīng)用框架的掃描技術(shù)精確掃描技術(shù)智能頁(yè)面爬取技術(shù)遠(yuǎn)程網(wǎng)頁(yè)掛馬檢測(cè)技術(shù)站點(diǎn)信息重整化（NSIP）技術(shù)精確快速精確快速精確精確快速統(tǒng)一硬件平臺(tái)，嵌入式安全操作系統(tǒng)，內(nèi)核級(jí)優(yōu)化高效穩(wěn)定高效精確的掃描能力3.漏洞驗(yàn)證技術(shù)—模擬漏洞利用過(guò)程，驗(yàn)證漏洞真實(shí)存在—直觀展示漏洞驗(yàn)證過(guò)程信息—不影響用戶正常使用和服務(wù)器正常運(yùn)行1.儀表盤(pán)，直觀展示整體風(fēng)險(xiǎn)1）最近N天整體風(fēng)險(xiǎn)等級(jí)；2）最新更新漏洞列表；3）最近N天掃描站點(diǎn)列表；4）最近N天危險(xiǎn)站點(diǎn)TOPM。備注：N和M均可自定義專(zhuān)家級(jí)統(tǒng)計(jì)分析報(bào)告專(zhuān)家級(jí)統(tǒng)計(jì)分析報(bào)告2.詳盡描述站點(diǎn)風(fēng)險(xiǎn)情況和修復(fù)建議—綜述信息展示展示任務(wù)綜述、風(fēng)險(xiǎn)類(lèi)型和風(fēng)險(xiǎn)值最高的頁(yè)面TOP10；—單站點(diǎn)信息查看該站點(diǎn)的詳細(xì)檢測(cè)數(shù)據(jù)：站點(diǎn)概述、風(fēng)險(xiǎn)類(lèi)型、Web風(fēng)險(xiǎn)分布（站點(diǎn)樹(shù)、漏洞分布、漏洞驗(yàn)證參考）、外部鏈接列表；—漏洞列表展示漏洞名稱(chēng)、出現(xiàn)次數(shù)和漏洞詳細(xì)信息、解決辦法等。詳盡的漏洞描述，全中文完整詳細(xì)的描述及行之有效的解決方法漏洞誤報(bào)修正功能3.漏洞誤報(bào)修正功能—客戶輸出報(bào)表時(shí)想要修正報(bào)表中的漏洞信息時(shí)使用—修正后的漏洞在任務(wù)中將被刪除，不會(huì)顯示W(wǎng)AF聯(lián)動(dòng)技術(shù)WEB安全檢測(cè)與安全防護(hù)的完美結(jié)合：—WVSS對(duì)網(wǎng)站信息進(jìn)行識(shí)別和分析，并將結(jié)果傳遞給WAF；—WAF使用傳遞來(lái)的結(jié)果作為其“HTTP和HTML限制”功能的參考值，進(jìn)而配置防護(hù)策略生效；—WAF同時(shí)處理傳遞來(lái)的URL鏈接信息，將安全的URL鏈接放入其可信的“白名單”，將有漏洞的URL鏈接放入其不可信的“黑名單”。功能特性總結(jié)專(zhuān)業(yè)高效全面全面發(fā)現(xiàn)Web漏洞，掌控網(wǎng)站風(fēng)險(xiǎn)快速穩(wěn)定掃描，杜絕緩慢和異常專(zhuān)家級(jí)修復(fù)建議，節(jié)約維護(hù)成本1賣(mài)什么？1.1原理和概念1.2產(chǎn)品家族1.3產(chǎn)品功能特性1.4解決方案單路掃描部署解決方案需求分析：用戶網(wǎng)絡(luò)結(jié)構(gòu)不是十分復(fù)雜，子網(wǎng)間沒(méi)有做隔離可以互訪，需要對(duì)網(wǎng)絡(luò)中的Web應(yīng)用進(jìn)行漏洞檢測(cè)。解決方案：通過(guò)單路掃描部署方式將WVSS設(shè)備部署到網(wǎng)絡(luò)內(nèi)，在選擇設(shè)備的一個(gè)掃描口接入到目標(biāo)網(wǎng)絡(luò)內(nèi)，目標(biāo)網(wǎng)絡(luò)可達(dá)即可。多路掃描部署解決方案需求分析：用戶網(wǎng)絡(luò)存在多個(gè)子網(wǎng)劃分或者vlan劃分，并且多個(gè)子網(wǎng)或vlan間不能直接相互訪問(wèn)的情況下，需要對(duì)多個(gè)彼此分開(kāi)的網(wǎng)絡(luò)同時(shí)進(jìn)行web應(yīng)用漏洞檢測(cè)。解決方案：通過(guò)多路掃描部署的方式將WVSS設(shè)備部署到網(wǎng)絡(luò)內(nèi)，在設(shè)備的多個(gè)網(wǎng)口分別接入多個(gè)目標(biāo)網(wǎng)絡(luò)內(nèi)，對(duì)多個(gè)網(wǎng)絡(luò)環(huán)境分別掃描。運(yùn)行環(huán)境WVSS發(fā)布環(huán)境開(kāi)發(fā)環(huán)境外網(wǎng)內(nèi)網(wǎng)內(nèi)網(wǎng)Internet掃描口1掃描口2掃描口31賣(mài)什么2賣(mài)給誰(shuí)3怎么賣(mài)5促銷(xiāo)策略4誰(shuí)在買(mǎi)政府行業(yè)

政府行業(yè)金融行業(yè)運(yùn)營(yíng)商行業(yè)重點(diǎn)客戶：公安、財(cái)政、稅務(wù)、海關(guān)、涉密、政府、檢測(cè)機(jī)構(gòu)等。政策法規(guī)：《關(guān)于進(jìn)一步加強(qiáng)政府網(wǎng)站管理工作的通知》

國(guó)辦函【2011】40號(hào)《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(jiàn)》

國(guó)發(fā)【2012】23號(hào)《關(guān)于印發(fā)<國(guó)家電子政務(wù)"十二五"規(guī)劃>的通知》工信部規(guī)【2011】567號(hào)驅(qū)動(dòng)力： 1.合規(guī)性要求（風(fēng)險(xiǎn)評(píng)估、等級(jí)保護(hù)）；2.監(jiān)管、檢查體系建設(shè)；3.電子政務(wù)網(wǎng)站安全建設(shè)。解決方案：政府網(wǎng)站安全形勢(shì)威脅，既有外部威脅、又有自身脆弱性和薄弱環(huán)節(jié)。而政府網(wǎng)站部署的防火墻、防病毒軟件等，不能提供有效地針對(duì)Web應(yīng)用攻擊完善的防御能力。針對(duì)現(xiàn)狀，需采取專(zhuān)門(mén)的監(jiān)管機(jī)制，對(duì)Web應(yīng)用攻擊進(jìn)行有效檢測(cè)，發(fā)現(xiàn)Web應(yīng)用漏洞和威脅，提供安全解決方案，保障電子政務(wù)網(wǎng)站安全。

企業(yè)運(yùn)營(yíng)商行業(yè)重點(diǎn)客戶：中國(guó)移動(dòng)、中國(guó)聯(lián)通、中國(guó)電信等。政策法規(guī)：《關(guān)于開(kāi)展2012年通信網(wǎng)絡(luò)安全防護(hù)檢查工作的通知》

工信部保函【2012】102號(hào)《中國(guó)移動(dòng)網(wǎng)頁(yè)篡改及網(wǎng)頁(yè)信息安全防護(hù)系統(tǒng)技術(shù)規(guī)范》

中國(guó)移動(dòng)【2009】《中國(guó)移動(dòng)網(wǎng)頁(yè)安全漏洞掃描系統(tǒng)技術(shù)規(guī)范》

中國(guó)移動(dòng)【2010】《中國(guó)電信網(wǎng)絡(luò)安全技術(shù)白皮書(shū)》

中國(guó)電信【2011】驅(qū)動(dòng)力： 1.合規(guī)要求（工信部、集團(tuán)公司安全檢查）；2.業(yè)務(wù)系統(tǒng)安全建設(shè)；3.網(wǎng)站安全建設(shè)。

解決方案：中國(guó)移動(dòng)、電信和聯(lián)通網(wǎng)站系統(tǒng)中的門(mén)戶網(wǎng)站、網(wǎng)上營(yíng)業(yè)廳，均面向廣大用戶提供互聯(lián)網(wǎng)業(yè)務(wù)服務(wù)，面臨Web服務(wù)暴露在互聯(lián)網(wǎng)而遭遇網(wǎng)站攻擊的問(wèn)題。因此加強(qiáng)門(mén)戶網(wǎng)站和網(wǎng)上營(yíng)業(yè)廳的安全建設(shè)尤其重要。部署綠盟WEB應(yīng)用掃描系統(tǒng)對(duì)管理的Web網(wǎng)站定期進(jìn)行Web漏洞檢測(cè)，統(tǒng)一進(jìn)行安全加固、應(yīng)急響應(yīng)等工作。

政府行業(yè)金融行業(yè)運(yùn)營(yíng)商行業(yè)企業(yè)金融行業(yè)重點(diǎn)客戶：銀行、保險(xiǎn)、證券等三大類(lèi)客戶。政策法規(guī)：《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范（試行）》銀發(fā)【2010】10號(hào)《網(wǎng)上銀行安全風(fēng)險(xiǎn)管理指引(征求意見(jiàn)稿)》

銀監(jiān)辦便函【2011】549號(hào)《保險(xiǎn)公司信息系統(tǒng)安全管理指引(征求意見(jiàn)稿)》保監(jiān)廳函【2011】65號(hào)《證券公司網(wǎng)上證券信息系統(tǒng)技術(shù)指引》中國(guó)證券業(yè)協(xié)會(huì)【2009】

驅(qū)動(dòng)力： 1.合規(guī)性要求（等級(jí)保護(hù)建設(shè)）；2.業(yè)務(wù)系統(tǒng)安全評(píng)估、風(fēng)險(xiǎn)管理；3.業(yè)務(wù)保障，網(wǎng)站安全建設(shè)。

解決方案：網(wǎng)上銀行系統(tǒng)業(yè)務(wù)安全問(wèn)題，攻擊者利用網(wǎng)上銀行系統(tǒng)Web漏洞對(duì)系統(tǒng)進(jìn)行如SQL注入等攻擊手段并控制服務(wù)器端，并進(jìn)行頁(yè)面篡改和網(wǎng)頁(yè)掛馬等后續(xù)操作。因此定期對(duì)現(xiàn)有網(wǎng)上業(yè)務(wù)系統(tǒng)進(jìn)行安全評(píng)估，同時(shí)加強(qiáng)新業(yè)務(wù)系統(tǒng)上線前的應(yīng)用安全評(píng)估，對(duì)避免遭受黑客攻擊很有幫助。

政府行業(yè)金融行業(yè)運(yùn)營(yíng)商行業(yè)企業(yè)1賣(mài)什么2賣(mài)給誰(shuí)3怎么賣(mài)5促銷(xiāo)策略4誰(shuí)在買(mǎi)3怎么賣(mài)？3.1熱點(diǎn)新聞\關(guān)鍵事件3.3產(chǎn)品資質(zhì)3.4競(jìng)爭(zhēng)分析3.5報(bào)價(jià)方法3.2客戶價(jià)值安全事件不斷涌現(xiàn)跨站腳本攻擊敏感信息泄露網(wǎng)頁(yè)掛馬SQL注入解決問(wèn)題的根本方法黑客攻擊最根本依據(jù)在于發(fā)現(xiàn)、利用Web漏洞。先于黑客發(fā)現(xiàn)并修復(fù)漏洞，始終是治本的方法。SQL注入網(wǎng)頁(yè)掛馬XSSCGI漏洞CSRF弱口令信息泄露WEB站點(diǎn)WEB漏洞發(fā)現(xiàn)CSRF跨站腳本信息竊取攻擊者防火墻網(wǎng)站系統(tǒng)網(wǎng)頁(yè)篡改信息泄露SQL注入網(wǎng)站入侵3怎么賣(mài)？3.1熱點(diǎn)新聞\關(guān)鍵事件3.3產(chǎn)品資質(zhì)3.4競(jìng)爭(zhēng)分析3.5報(bào)價(jià)方法3.2客戶價(jià)值客戶價(jià)值網(wǎng)站開(kāi)發(fā)者網(wǎng)站運(yùn)維者網(wǎng)站監(jiān)管者系統(tǒng)上線前自檢查，查找系統(tǒng)存在的bug，并修復(fù)。確保系統(tǒng)能正常上線，而且上線后不被遭受攻擊。發(fā)現(xiàn)網(wǎng)站的安全性問(wèn)題，如是否被掛馬、SQL注入等，并及時(shí)修補(bǔ)。掌握下屬機(jī)構(gòu)網(wǎng)站運(yùn)營(yíng)情況，整體風(fēng)險(xiǎn)狀況，整理成詳細(xì)的報(bào)告。3怎么賣(mài)？3.1熱點(diǎn)新聞\關(guān)鍵事件3.3產(chǎn)品資質(zhì)3.4競(jìng)爭(zhēng)分析3.5報(bào)價(jià)方法3.2客戶價(jià)值產(chǎn)品資質(zhì)證書(shū)類(lèi)型預(yù)計(jì)獲得時(shí)間當(dāng)前狀態(tài)《計(jì)算機(jī)軟件著作權(quán)登記證書(shū)》2012.Q4已獲得《計(jì)算機(jī)信息系統(tǒng)安全專(zhuān)用產(chǎn)品銷(xiāo)售許可證》2013.Q1申請(qǐng)中《涉密信息系統(tǒng)產(chǎn)品檢測(cè)證書(shū)》2013.Q1申請(qǐng)中《軍用信息安全產(chǎn)品認(rèn)證證書(shū)》2013.Q1申請(qǐng)中《分級(jí)評(píng)估證書(shū)EAL1》2013.Q3暫未申請(qǐng)3怎么賣(mài)？3.1熱點(diǎn)新聞\關(guān)鍵事件3.3產(chǎn)品資質(zhì)3.4競(jìng)爭(zhēng)分析3.5報(bào)價(jià)方法3.2客戶價(jià)值國(guó)內(nèi)篇綠盟NSFOCUSWVSS安恒明鑒MatriXay5.0安域領(lǐng)創(chuàng)WebRavor知道創(chuàng)宇Websaber優(yōu)勢(shì)1.專(zhuān)有高可靠性高性能定制硬件平臺(tái)；2.基于HTTPS的B/S架構(gòu)，簡(jiǎn)易部署；3.基于精確掃描技術(shù)，提供高可信度的檢測(cè)結(jié)果；4.完善的分支體系，提供高效的本地化支持。1.支持滲透測(cè)試，模擬黑客攻擊手段，實(shí)施無(wú)害攻擊，獲取證據(jù)；2.在WEB攻防方面較強(qiáng)研究能力;3.檢測(cè)范圍較全，擁有2000+漏洞庫(kù)，與國(guó)內(nèi)產(chǎn)品相比準(zhǔn)確性高。1.自動(dòng)過(guò)濾大量重復(fù)頁(yè)面，智能預(yù)測(cè)和分析；2.支持滲透測(cè)試。1.具備網(wǎng)站信息泄露、不恰當(dāng)配置檢測(cè)能力；2.支持滲透測(cè)試；3.融入網(wǎng)站信譽(yù)和敏感內(nèi)容的檢測(cè)，有5000條CGI掃描庫(kù)。劣勢(shì)1.不支持滲透測(cè)試。1.非硬件產(chǎn)品，性能和安全性不足；2.采用軟件結(jié)構(gòu)，部署復(fù)雜且用戶體驗(yàn)度低；3.公司規(guī)模小，售后和應(yīng)急響應(yīng)能力不足。1.非硬件產(chǎn)品，性能和安全性不足；2.采用軟件結(jié)構(gòu)，部署復(fù)雜且用戶體驗(yàn)度低；3.公司規(guī)模小，售后和應(yīng)急響應(yīng)能力不足。1.非硬件產(chǎn)品，性能和安全性不足；2.采用軟件結(jié)構(gòu)，部署復(fù)雜且用戶體驗(yàn)度低；3.公司規(guī)模小，售后和應(yīng)急響應(yīng)能力不足。應(yīng)對(duì)策略：1.軟件產(chǎn)品，性能受限于操作系統(tǒng)，而且安全性不能保證；2.軟件產(chǎn)品，部署復(fù)雜而且用戶體驗(yàn)度低；3.售后支持，公司規(guī)模小，售后和應(yīng)急響應(yīng)能力不足。國(guó)外篇綠盟NSFOCUSWVSSIBMAppScanHPWebInspectAcunetixWVS優(yōu)勢(shì)1.專(zhuān)有高可靠性高性能定制硬件平臺(tái)；2.基于HTTPS的B/S架構(gòu)，簡(jiǎn)易部署；3.基于精確掃描技術(shù)，提供高可信度的檢測(cè)結(jié)果；4.完善的分支體系，提供高效的本地化支持。1.產(chǎn)品功能更新快，具有白盒代碼分析能力；2.能方便查看站點(diǎn)各資源；3.作為Rational系列中的成員，可整體銷(xiāo)售；4.覆蓋范圍較全（Web2.0、WAP），檢測(cè)機(jī)制較全（SAST、DAST、IAST）。1.可與HPAssessmentManagementPlatform軟件集成；2.SPILabs每天更新漏洞庫(kù)，具有5000+特征庫(kù)；3.覆蓋范圍較全（Web2.0、WAP），檢測(cè)機(jī)制較全（SAST、DAST、IAST）。1.包含滲透測(cè)試工具；2.通過(guò)GHDB（谷歌黑客數(shù)據(jù)庫(kù)）獲取網(wǎng)站內(nèi)容，獲取敏感數(shù)據(jù)并告知；3.報(bào)告內(nèi)容符合PCI合規(guī)性要求。劣勢(shì)1.不支持滲透測(cè)試。1.有一定的誤報(bào)；2.非硬件產(chǎn)品，性能和安全性不足；3.不支持用戶分權(quán)管理；4.采用軟件結(jié)構(gòu)，部署復(fù)雜且用戶體驗(yàn)度低；5.規(guī)則設(shè)置復(fù)雜，需要較強(qiáng)的安全知識(shí)；6.國(guó)內(nèi)售后和應(yīng)急響應(yīng)能力不足。1.產(chǎn)品不支持中文；2.非硬件產(chǎn)品，性能和安全性不足；3.不支持用戶分權(quán)管理；4.采用軟件結(jié)構(gòu)，部署復(fù)雜且用戶體驗(yàn)度低。5.規(guī)則設(shè)置復(fù)雜，需要較強(qiáng)的安全知識(shí)；6.國(guó)內(nèi)售后和應(yīng)急響應(yīng)能力不足。1.產(chǎn)品不支持中文；2.非硬件產(chǎn)品，性能和安全性不足；3.不支持用戶分權(quán)管理；4.采用軟件結(jié)構(gòu)，部署復(fù)雜且用戶體驗(yàn)度低；5.國(guó)內(nèi)售后和應(yīng)急響應(yīng)能力不足。應(yīng)對(duì)策略：1.國(guó)外廠商，產(chǎn)品不支持中文，用戶體驗(yàn)度差；2.其他內(nèi)容與國(guó)內(nèi)廠商應(yīng)對(duì)策略一致。Web漏洞掃描產(chǎn)品選擇硬件產(chǎn)品優(yōu)于軟件產(chǎn)品：安全產(chǎn)品自身安全很重要對(duì)比項(xiàng)硬件產(chǎn)品軟件產(chǎn)品性能采用獨(dú)立硬件平臺(tái)，專(zhuān)有操作系統(tǒng)，穩(wěn)定可靠，性能較好。性能受限于安裝軟件的設(shè)備配置，性能不可控，穩(wěn)定性較差。安全性采用獨(dú)立硬件平臺(tái)，數(shù)據(jù)均加密存儲(chǔ)，采用SSL加密通信。數(shù)據(jù)均存儲(chǔ)于第三方平臺(tái)中，數(shù)據(jù)安全不能保障。用戶體驗(yàn)采用B/S架構(gòu)，通過(guò)瀏覽器即可管理和維護(hù)，使用方便。需要安裝客戶端軟件，部署復(fù)雜，易用性較差。成本無(wú)需增加額外硬件成本安裝客戶端軟件。需要安裝客戶端軟件，因此需要增加額外硬件成本。性能測(cè)試結(jié)果測(cè)試環(huán)境掃描參數(shù)策略各平臺(tái)測(cè)試結(jié)論NSFOCUSWVSSXNSFOCUSRSAS（WebScan）SIBMAppScan此環(huán)境為研發(fā)自主搭建環(huán)境，用同一網(wǎng)站，50%靜態(tài)頁(yè)面，50%動(dòng)態(tài)頁(yè)面總鏈接數(shù)1009分鐘44秒17分鐘20分鐘總鏈接數(shù)10001小時(shí)08分鐘1小時(shí)46分鐘1小時(shí)20分總鏈接數(shù)1000017小時(shí)03分鐘18小時(shí)48分鐘內(nèi)存不足未完成（IntelCorei33.10GHz、2GB內(nèi)存）以上環(huán)境的拷貝，共6個(gè)，都是獨(dú)立的物理機(jī)上環(huán)境系統(tǒng)容忍的最大并發(fā)數(shù)下，保證全天滿負(fù)荷運(yùn)行10萬(wàn)（并發(fā)任務(wù)數(shù)7）10萬(wàn)（webscan原有數(shù)據(jù)）結(jié)論：1.WVSSX型號(hào)比RSASS型號(hào)性能更優(yōu)，后期推出的WVSSS和E型號(hào)性能將更優(yōu)。2.WVSS在性能和穩(wěn)定性上優(yōu)于IBMAppScan。3怎么賣(mài)？3.1熱點(diǎn)新聞\關(guān)鍵事件3.3產(chǎn)品資質(zhì)3.4競(jìng)爭(zhēng)分析3.5報(bào)價(jià)方法3.2客戶價(jià)值報(bào)價(jià)方式NSFOCUSWVSS整體報(bào)價(jià)WVSSNX3-X引擎系統(tǒng)引擎模塊1-50個(gè)IP地址或域名授權(quán)許可掃描端口擴(kuò)展模塊（最多3個(gè)）漏洞驗(yàn)證模塊數(shù)據(jù)接口模塊可選接口模塊產(chǎn)品服務(wù)套餐（根據(jù)用戶需求選配）白銀服務(wù)包黃金服務(wù)包白金服務(wù)包鉆石服務(wù)包許可證變更服務(wù)先行替代服務(wù)WVSSNX3-P引擎系統(tǒng)引擎模塊無(wú)限制IP地址或域名授權(quán)許可漏洞驗(yàn)證模塊掃描端口擴(kuò)展模塊（最多3個(gè)）WVSSNX3-S引擎系統(tǒng)引擎模塊1-100個(gè)IP地址或域名授權(quán)許可無(wú)限制IP地址或域名授權(quán)許可掃描端口擴(kuò)展模塊（最多5個(gè)）數(shù)據(jù)接口模塊漏洞驗(yàn)證模塊可選接口模塊…