Сканер виды: описание, устройство, преимущества и недостатки :: SYL.ru

Leave a comment

Содержание

описание, устройство, преимущества и недостатки :: SYL.ru

Сканеры уже давно стали привычным элементом компьютерного стола и прочно закрепились в обиходе не только полиграфических организаций, но и у рядовых пользователей ПК. Все прекрасно знают, зачем такой аппарат нужен, но мало кто догадывается, что разновидностей устройств такого плана очень много – буквально на все случаи жизни.

Некоторые типы сканеров настолько специфичны, что на полках обычных магазинов вы их просто не увидите. Сегодня мы как раз и поговорим о разновидностях подобной периферии. Это наверняка поможет сориентироваться тем, кто собирается прикупить себе такое устройство.

Итак, рассмотрим типы сканеров, сферы их применения, особенности, а также их достоинства с недостатками.

Что такое сканер

Для начала разберемся, что это за устройство. Если взять любую инструкцию к сканеру, то в первом же абзаце можно найти четкое определение и назначение данного девайса. Сканер – это аппарат для оцифровки бумажных (или других) носителей визуальной информации. Последними могут быть какие-то документы, фотографии, газеты, журналы, книги и прочие материалы текстового и/или графического характера.

Некоторые типы сканеров могут выступать в роли периферийного устройства, где необходимо подключение к персональному компьютеру, или работать автономно, передавая обработанные данные посредством вай-фай-протоколов, электронной почты или другими способами. Современные и продвинутые модели могут работать как в тандеме с ПК, так и соло.

Типы сканеров

Все устройства такого плана можно условно разделить на два типа – для домашнего пользования и промышленные. Сканеры для дома значительно дешевле своих профессиональных собратьев. Они хоть и рассчитаны на каждодневное использование, но серьезную, то есть промышленную нагрузку выдержать не могут. Подобные девайсы не отличаются широкими функциональными возможностями и справляются именно с бытовыми нуждами: отсканировать документы, фото или книги.

Промышленные модели используются на производстве. Они находят свое применение в дизайнерских студиях, полиграфических организациях, то есть там, где выполняются большие объемы работы и необходима значительная отдача оборудования. К данному типу девайсов предъявляют серьезные эксплуатационные требования в плане скорости, надежности и нагрузки.

Вообще, любой сканер можно использовать для оцифровки документов, поэтому здесь, по большому счету, вопрос только в цене и практичности приобретения той или иной модели. Если вам время от времени нужно обработать несколько листов с текстом, то лучше взять самый простой ручной (портативный) сканер для документов, а не разоряться на планшетную или роликовую модель с высоким КПД.

Далее рассмотрим подтипы устройств, которые можно встретить в специализированных магазинах и других точках продаж.

Планшетные модели

Планшетные сканеры – это самый распространенный тип устройств, и используют их, как правило, в быту, то есть в домашних или офисных условиях. В этом случае источник оцифровки располагается на стеклянной поверхности и перед началом работы закрывается крышкой.

Внутри конструкции расположена каретка и лампа. Светочувствительные элементы вкупе с оптической системой двигаются по рельсам и считывают данные с макета. В результате на компьютере появляется цифровая версия оригинала. Перед тем как подключить сканер и начать работу, необходимо установить соответствующее программное обеспечение и только потом приступать к оцифровке. Так что данный тип оборудования привередлив к операционной системе, и для полноценного использования необходимы специальные драйвера (идут, как правило, в комплекте).

Планшетные сканеры отличаются интуитивно понятным управлением и непривередливы к источнику оцифровки. Главное, чтобы последний помещался в рабочей области и не был слишком уж толстым и тяжелым. Данный тип повсеместно используется как дома, так и в офисе. Кроме того, цены на планшетные сканеры не кусаются, так что большинство моделей доступны среднестатистическому пользователю.

Барабанные модели

Как понятно из названия, основной элемент девайса – это барабан или ролик. Особенность роликового сканера заключается в том, что макет закрепляется на валике, то есть оборачивается вокруг него, а не располагается привычным образом, как это было в случае с планшетными моделями.

Световой луч, проходя через макет, попадает на фотоэлектронный множитель, который и преобразует изображение в цифровой вид. Вращаясь, барабанный сканер точка за точкой обрабатывает оригинал, не пропуская ни одной детали. Именно поэтому данный тип так высоко ценят те, кому необходимо очень высокая точность оцифровки.

Ввиду своих далеко не маленьких габаритов, барабанные сканеры не приживаются дома, да и в офисах от них нет как таковой практичной выгоды, тем более что стоят подобные устройства в два, а то и более раз дороже планшетных аналогов. Основные потребители роликовых моделей – это полиграфические и дизайнерские организации.

Протяжные модели

Подобные сканеры предназначены для оцифровки многостраничных документов, то есть имеют высокое КПД. Некоторые так их и называют – документные. Для больших офисов это незаменимый инструмент, особенно в бухгалтерии или юридическом отделе.

Конструкция сканера напоминает обычный принтер. Пачка макетов закладывается в приемник, и ролики автоматической подачи протягивают лист за листом через фотосчитывающую систему, которая и оцифровывает документы.

Отличительные черты

К сожалению, у данного типа есть один серьезный недостаток: сканер не может справиться со сшитыми или как-то скрепленными листами, поэтому перед протяжкой необходимо избавиться от скоб и прочих инородных элементов. Последние могут повредить ролик и фотосистему, поэтому внимательный перебор документов перед протяжкой обязателен.

Подобная проблема иногда решается покупкой комбинированного устройства – планшетно-протяжного сканера. Такие девайсы оснащены и протяжным роликом, и отдельной площадью под сброшюрованные макеты. Протяжные модели различаются еще по уровням: чем он выше, тем больше скорость и порог предельной суточной нагрузки.

Проекционные модели

Проекционный сканер – это бесконтактная разновидность устройства, которая служит для оцифровки любого макета. Их еще называют планетарными или орбитными из-за особенности конструкции: фотоэлементы находятся на фиксированном расстоянии от оригинала, то есть как бы на орбите.

Подобное оборудование нашло широкое применение в музеях, исследовательских центрах и других похожих учреждениях, где нужна именно деликатная работа с документами, которые, как правило, имеют ветхий вид.

Основной сканирующий элемент находится на удалении от рабочей зоны на несколько десятков сантиметров. Глазок на головке как бы просматривает документ сверху вниз, а скорость просмотра меняется в зависимости от желаемого разрешения.

Также можно встретить матричные бесконтактные сканеры, действующие по принципу фотоаппарата. То есть с каждым спущенным затвором мы имеем какую-то одну оцифрованную часть документа. Чем выше разрешение, тем больше таких снимков нужно будет сделать матрице.

Особенности конструкции

Кроме того, добрая половина подобных сканеров оснащается специальной V-образной колыбелью для книг. Она служит в качестве выравнивателя страниц по нужной оси. Такая система приходится очень кстати, когда нужно поработать с толстыми и старыми книгами на несколько тысяч страниц.

Некоторые модели дополнительно комплектуются автоматическим помощником для перелистывания. Подобные «фишки» значительно упрощают и систематизируют процесс сканирования, да и ветхим книгам не приходится иметь дело с пальцами человека, что позволяет заметно дольше сохранять материал в его исходном состоянии.

Естественно, о домашнем или офисном применении такого оборудования речи не идет. Подобная техника очень дорого стоит, и пользоваться ею дома для сканирования, к примеру, курсовых — просто кощунство. Да и практичности здесь нет ни грамма.

Паспортные модели

Это узкоспециализированное оборудование, предназначенное именно для оцифровки важных документов. В первую очередь речь идет о паспортах, водительских удостоверениях, ИНН, пенсионных картах, пропусках, военных билетах и других документах, удостоверяющих личность.

За счет своей приличной скорости и компактности, такая техника широко востребована на пропускных пунктах, в отделениях МВД, в банках и других местах, где необходима быстрая регистрация документов с оцифровкой оных для базы данных.

По принципу действия – это те же планшетные сканеры, только адаптированные под формат работы на КПП. То есть устройство принимает документы размером не больше разверстки А5 и рассчитано в первую очередь не на высокое разрешение, а на скорость без значительной потери качества.

Также стоит отметить наличие во многих моделях специального программного обеспечения. Оно позволяет извлекать данные из документов и как-то систематизировать их. Это очень удобно, если нужна именно первичная информация подателя, а не полная оцифрованная копия удостоверения личности.

В качестве ложки дегтя здесь выступает скудный функционал. Узкая направленность подобной техники не предполагает излишеств, поэтому полноценно использовать ее в каких-то других целях, увы, не получится. Так что не стоит «вестись» на привлекательный ценник паспортного сканера. Некоторые недобросовестные дельцы продают такую технику под видом обычных планшетных устройств, «забывая» упомянуть об этой детали в спецификации к устройству. Поэтому нелишним будет заглянуть в инструкцию к девайсу, прежде чем оплатить покупку.

Ручные модели

Это крайне богатый на разновидности сканеров сегмент. Практически все ручные лазерные сканеры-копиры можно разделить на три большие группы, где каждая модель отличается от другой своей конструкцией и принципом действия.

Первая группа

Здесь оцифровка происходит с помощью ручного моноблока определенного формата (А4, А5 и т. п.), которым нужно провести по сканируемому документу. Удобны подобные модели тем, что работать можно, что называется, на коленке, то есть вам не нужен специальный стол или какие-то дополнительные приспособления: включили, провели сканером по документу — и готово.

Вторая группа

Процесс оцифровки схож с первой группой, но вместо четко заданных параметров листа мы имеем перо или ручку, где процесс сканирования построчный, а не цельнолистовой. Само устройство похоже на небольшой фен, а для передачи данных необходимо обработать строку за строкой или какие-то отдельные, нужные вам участки.

Третья группа

Здесь мы имеем аналог протяжного сканера, но с ручной подачей. То бишь есть ролик, куда помещается макет, а пользователь сам должен его протянуть через фотосчитывающие элементы. О высокой скорости, как у старшего собрата, говорить не приходится, но модели этой группы имеют на выходе самую качественную оцифровку.

Какую именно группу и модель выбрать, зависит только от ваших потребностей. К примеру, кассиру, которому нужны копии корешков приходных или расходных ордеров, более чем достаточно самого простого устройства, а точная оцифровка в высоком разрешении ему совсем ни к чему. Все что требуется – это черно-белая копия оригинала, где видны дата, сумма и фамилия. Так что тратиться на модели из третьей группы не стоит, вполне подойдет первая или вторая.

Основные преимущества ручных сканеров – это портативность, мобильность и автономность. Последний параметр относится не ко всем устройствам. Некоторые девайсы могут работать от собственного источника питания, который нужно периодически подзаряжать, либо на обычных пальчиковых или мизинчиковых батарейках (АА/ААА). В этом случае передача данных, то есть оцифровка, происходит посредством беспроводных протоколов Wi-Fi или Bluetooth.

Еще одно не менее важное достоинство ручных сканеров – это стоимость оборудования. Перо или протяжный модуль стоят в два, а то и три раза дешевле рядового планшетного устройства. Из минусов можно отметить низкое качество оцифровки. Даже устройства третей группы еле-еле дотягивают до уровня стационарных моделей. Поэтому если высокое разрешение документов на выходе не так важно для вас, то именно ручные модели станут неплохим подспорьем дома или в офисе.

Разновидности сканеров : Документные сканеры

Такое устройство как сканер уже давно вошло в обиход среднестатистического пользователя компьютера. Мало кого сейчас можно удивить этим словом. Для чего предназначены сканеры, знают все, но далеко не каждый догадывается, какие бывают разновидности этих устройств. В этой статье мы хотим немного рассказать о данном виде периферии.

Сканер — это устройство, предназначенное для преобразования изображения материального объекта в цифровой вид. Объектами сканирования являются документы, книги, журналы, рисунки и фотографии, слайды и негативы и прочие материалы, содержащие текстовую и графическую информацию.
Современные сканеры могут представлять из себя компьютерное периферийного устройства, то есть работать в связке с компьютером, либо автономное устройство, способное отправлять результат сканирования по сети, электронной почте и даже по wi-fi.

Все сканеры условно можно разделить на 2 типа — домашние и промышленные. Промышленные, как следует из названия, — используются на производстве. К сканерам данного типа предьявляются повышенные требования по скорости, нагрузке, надежности и другим эксплуатационным характеристикам. Домашние сканеры предназначены, как правило, для не каждодневного использования, по этому данные бытовые устройства гораздо дешевле и проще промышленных.

В любом случае, любой сканер можно использовать для сканирования документов, вопрос лишь в том, каким способом и с какой скоростью он эти документы сканирует…

Рассмотрим типы сканеров и области их применения.

Планшетные сканеры

Это наиболее распространенный в бытовом использовании тип сканера. Здесь сканируемый оригинал располагается на прозрачном планшете. Каретка с лампой, оптической системой и матрицей светочувствительных элементов движется вдоль планшета, считывая изображение с поверхности оригинала и преобразовывая его в цифровой код. Благодаря доступным ценам, легкости использования и возможности работы практически со всеми видами оригиналов, этот вид сканеров широко распространен как среди простых пользователей, так и среди профессионалов.

Пленочные сканеры

В отличие от предыдущего, данный тип является специализированным и предназначен только для сканирования прозрачных оригиналов, таких как слайды, негативы и диапозитивы. Сканеры данного типа в основном используются фотографами или работниками фотостудий и фотолабораторий, т.е. имеют популярность среди профессионалов. Пользователи, которые сканируют пленки от случая к случаю, предпочитают использовать не столь дорогие планшетные сканеры со слайд-модулем, или обращаться в те же фотостудии.

Барабанные сканеры

Свое название этот тип получил благодаря вращающемуся барабану, на который крепится сканируемый оригинал. Луч света от оригинала направляется на фотоэлектронный умножитель который преобразует его воздействие в электронный сигнал. Так при вращении барабана, точка за точкой формируется цифровое изображение. Барабанные сканеры обеспечивают высокое качество сканирования, но из-за больших габаритов и высокой стоимости такие устройства могут позволить себе только крупные организации. Основная область применения барабанных сканеров – полиграфия.

Протяжные сканеры

Данный тип предназначен в основном для сканирования многостраничных несброшюрованных документов. Поэтому такие сканеры так же называют документными. Эти сканеры позволяют автоматизировать процесс сканирования больших объемов офисной документации. Ролики системы автоматической подачи листов протягивают сканируемый оригинал перед неподвижной фотосчитывающей системой, которая преобразует отраженный от поверхности оригинала свет в последовательность электронных сигналов.

К сожалению, этот тип не предназначен для сканирования скрепленных листов, поэтому зачастую такие сканеры имеют встроенное планшетное устройство сканирования, либо присоединяемый планшет, приобретаемый отдельно. В такой связке документный сканер легко справится со сшитыми документами, книгой или журналом. Такой комбинированный тип сканера называют планшетно — протяжной.

Все протяжные сканеры подразделяются на уровни в зависимости от скорости сканирования и рассчитанной дневной нагрузки. Но в любом случае, вне зависимости от уровня сканера, основное назначение документных сканеров — это работа с большим объемом документов, работа на поток. По-этому данный тип сканеров так же еще называют

поточные сканеры.

Паспортные сканеры

Специальные устройства, спроектированные с учетом оптимального удобства для сканирования паспортов, водительских прав, пропусков и других удостоверений личности. Благодаря своей компактности и высокой скорости сканирования, они могут использоваться везде, где нужна быстрая регистрация личных данных.

По своеему принципу действия — это, как правило, планшетные сканеры формата А5, адаптированные по своим характеристикам для получения оптимального результата при вводе документов.

При выборе подобных специализированных моделей сканера основное внимание нужно уделать поставляемому в комплекте программному обеспечению. Современное программное обеспечение, помимо функций оптимизации изображения, так же имеет функциями автоматизированного извлечения данных из документов для последующего экспорта в файловую систему, либо базы данных.

Книжные или планетарные сканеры

Планетарный сканер (англ. planetary scanner) — разновидность сканера изображений, использующаяся для бесконтактного сканирования книг и сброшюрованных документов. Планетарные сканеры широко используются для оцифровки оригиналов, требующих деликатного обращения (ветхих, исторических документов). Наиболее часто используется название «книжный сканер».

Название «планетарный» трансформировалось из понятия «орбитальный» — так назывался данные тип сканеров на этапе разработки. Название происходит из принципа действия устройства — сканирующий элемент находтся на фиксированном расстоянии от фотографируемого объекта (как бы на орбите).

Основным элементом книжного сканера является сканирующая головка, расположенная на высоте нескольких десятков сантиметров над сканируемым объектом. Сканирующая головка может быть устроена по принципу сканирующей линейки и осуществлять сканирование посредством «просмотра» документа от одного края до другого. Также головки могут оснащаться матрицами, устроенными по принципу матрицы цифрового фотоаппарата. Такие устройства осуществляют сканирование за одно раскрытие затвора, что значительно ускоряет процесс.

Многие модели сканеров оснащаются книжной колыбелью, которая предназначена для выравнивания высоты страниц сканируемого документа. В зависимости от модели сканера, колыбель может оснащаться прижимным стеклом для разглаживания поверхности документа и уменьшения искажений при сканировании. Для сканирования книг или сшитых документов с ограниченным углом раскрытия существуют V-образные книжные колыбели. Стоит отметить, что некоторые производители оснащают сканеры с V-образной колыбелью двумя сканирующими головками, расположенными симметрично и с таким наклоном к вертикальной оси, что каждая головка сканирует только одну страницу книги.

Основное предназначение таких сканеров заключено в названии – сканирование разворотов книг. Оригинал располагается сканируемой поверхностью вверх на специальной подставке или в V-образной колыбели. Сверху, на значительном удалении, располагается сканирующая головка или камера. Снимки страниц передаются в компьютер для последующей обработки.

Топовые модели книжных сканеров передовых производителей часто оснащаются системами автоматизированного перелистывания страниц, что выводит процесс оцифровки книг на совершенный уровень. Оператору сканирования остается лишь настроить систему перелистывания страниц под конкретный экземпляр орригинала и запустить процесс, происходящий в полностью автоматическом режиме. Естественно, подобные решения давольно сложны в реализации, что отражается на их высокой стоимости.

Сетевые сканеры

Данные устройства подключаются напрямую к существующей сетевой инфраструктуре без использования компьютера и позволяют любому сотруднику организации сканировать документы, сохранять их в сетевые папки, отправлять по почте.

Сетевыми функциями обычно оснащают модели поточных сканеров начального и среднего уровня, что выводит такие устройства на качественно новый уровень и позволяет им занимать самостоятельное важное место в любом офисе.

Разместив подобное устройство в вашем офисе вы сразу ощутите прирост производительности ваших сотрудников в процессах, касающихся оцифровки, обработки и передачи документов.

Простым выбором нужной функции при помощи нажатия на кнопки сенсорного экрана, вы сможете выбрать нужный тип файла, разрешение, цветность, необходимость распознавания текста с вводимого документа (как правило, одновременно поддерживается распознавание нескольких десятков языков в автоматическом режиме) и выбор дальнейшего адресата (будь то адрес электронной почты или сетевая папка) для отправки отсканированного изображения.

Ручные сканеры

В данном сегменте собрано большое количество разных типов устройств. Все устройства данного класса можно условно разделить на три группы по принципу действия:

Первый тип:

сканирование производится путем проведения сканера рукой по поверхности оригинала.

Второй тип: сканирование производится удерживаемым в руке устройством (сканирующее перо, ручка-сканер и т.п.). Устройства данного типа предназначены, преимущественно, для построчного сканирования текста.

Третий тип: по сути протяжной сканер, имеющий небольшие габариты (портативный протяжной сканер отдельных листов, сканер визиток). Подобные устройства, в угоду небольшим габаритам, не имеют механизма автоматической подачи документов (ADF) и рассчитаны на ручную подачу оригиналов в протяжной механизм, всвязи с чем устройства данного класса не отличаются высокой скоростью сканирования. Их рекомендуются использовать, когда есть необходимость отсканировать несколько листов документов в автономных условиях. Несмотря на игрушечные размеры и небольшую производительность, подобные устройства, благодаря наличию протяжного механизва, способны получать изображения документов давольно высокого качества.

Основным достоинством ручных сканеров является их портативность и мобильность, а зачастую и автономность: некоторые сканеры этой группы работают от встроенных источников питания (собственного формата либо обычные пальчиковые батарейки) и способны передавать файлы сканов по воздуху (wi-fi, bluetooth).
Отдельно можно отметить такое комбинированное устройство, как сканер-мышь, которая подключается к компьютеру через USB и функционирует как обычная мышь, а при необходимости, нажатием специальной кнопки, переводится в режим сканирования.

docscan.ru

Теперь, когда вы в общих чертах представляете Что такое сканер и какие они бывают, вам будет легче ориентироваться в мире документных сканеров, формулировать свои задачи и сделать выбор необходимой именно вам модели сканера.

Депертамент документных сканеров предлагает полный спектр документных (протяжных и планшетно-протяжных), книжных, ручных сканеров от ведущих мировых производителей Avision, Canon, Fujitsu, Kodak, Microtek, IRIS.

Также мы предлагаем программное обеспечение Kofax, позволяющее разделить, идентифицировать, распознать документы и извлекать необходимые данные, что в комплексе со сканерами обеспечивает решение практически любого уровня сложности для потокового ввода документов.

Что такое сканер? Основные характеристики : Документные сканеры

Сканер – это устройство, которое анализируя какой-либо объект (обычно изображение, текст), создаёт цифровую копию изображения объекта. Процесс получения этой копии называется сканированием.

В 1857 году флорентийский аббат Джованни Казелли изобрёл прибор для передачи изображения на расстояние, названный впоследствии пантелеграф. Передаваемая картинка наносилась на барабан токопроводящими чернилами и считывалась с помощью иглы. В 1902 году, немецким физиком Артуром Корном была запатентована технология фотоэлектрического сканирования, получившая впоследствии название телефакс. Передаваемое изображение закреплялось на прозрачном вращающемся барабане, луч света от лампы, перемещающейся вдоль оси барабана, проходил сквозь оригинал и через расположенные на оси барабана призму и объектив попадал на селеновый фотоприёмник. Эта технология до сих пор применяется в барабанных сканерах. В дальнейшем, с развитием полупроводников, усовершенствовался фотоприёмник, был изобретён планшетный способ сканирования, но сам принцип оцифровки изображения остается почти неизменным.

Основные характеристики сканеров

Оптическое разрешение

Является основной характеристикой сканера. Сканер снимает изображение не целиком, а по строчкам. По вертикали планшетного сканера движется полоска светочувствительных элементов и снимает по точкам изображение строку за строкой. Чем больше светочувствительных элементов у сканера, тем больше точек он может снять с каждой горизонтальной полосы изображения. Это и называется оптическим разрешением. Оно определяется количеством светочувствительных элементов (фотодатчиков), приходящихся на дюйм горизонтали сканируемого изображения. Обычно его считают по количеству точек на дюйм — dpi (dots per inch). Нормальный уровень разрешение не менее 600 dpi, увеличивать его еще дальше — значит, применять дорогую оптику, дорогие светочувствительные элементы, и увеличивать время сканирования. Для обработки слайдов необходимо более высокое разрешение 1200 dpi.

Разрешение по X

Этот параметр показывает количество пикселей у фоточувствительной линейки, из которых формируется изображение. Разрешение является одной из основных характеристик сканера. Большинство моделей имеет оптическое разрешение сканера 600 или 1200 dpi (точек на дюйм). Его достаточно для получения качественной копии. Для профессиональной работы с изображением необходимо более высокое разрешение.

Разрешение по Y

Этот параметр определяется величиной хода шагового двигателя и точностью работы механики. Механическое разрешение сканера значительно выше оптического разрешения фотолинейки. Именно оптическое разрешение линейки фотоэлементов будет определять общее качество отсканированного изображения.

Скорость сканирования

Скорость сканирования зависит от разрешения при сканировании и от размера оригинала. Обычно производители указывают этот параметр для формата А4. Скорость сканирования может измеряться количеством страниц в минуту или временем, необходимым для сканирования одной страницы. Иногда измеряется в количестве сканируемых линий в секунду.

Глубина цвета

Как правило, производители указывают два значения для глубины цвета — внутреннюю глубину и внешнюю. Внутренняя глубина — это разрядность АЦП (аналого-цифрового преобразователя) сканера, она указывает на то, сколько цветов сканер способен различить в принципе. Внешняя глубина — это количество цветов, которое сканер может передать компьютеру. Большинство моделей используют для цветопередачи 24 бита (по 8 на каждый цвет). Для стандартных задач в офисе и дома этого вполне достаточно. Но если вы собираетесь использовать сканер, для серьезной работы с графикой, попробуйте найти модель с большим числом разрядов.

Максимальная оптическая плотность

Максимальная оптическая плотность у сканера — это оптическая плотность оригинала, которую сканер отличает от ‘полной темноты’. Чем больше это значение, тем больше чувствительность сканера и тем выше качество сканирования темных изображений.

Тип источника света

Ксеноновые лампы отличаются малым временем прогрева, долгим сроком службы и небольшими размерами. Флуоресцентные лампы с холодным катодом дешевы в производстве и имеют долгий срок службы. Светодиоды (LED) обладают малыми размерами, низким энергопотреблением и не требуют времени для прогрева. Но по качеству цветопередачи LED-сканеры уступают сканерам с флуоресцентными и ксеноновыми лампами.

Тип датчика сканера

В сканерах и МФУ обычно используется один из двух типов датчиков, основанных на разных технологиях:

CIS — Contact Image Sensor / контактный датчик изображения;
CCD — Charge-Coupled Device / прибор с зарядовой связью (ПЗС).

CIS представляет собой линейку фотоэлементов, которая равна ширине сканируемой поверхности. Во время сканирования она перемещается под стеклом и строка за строкой передает информацию об изображении на оригинале в виде электрического сигнала. Для освещения обычно используются светодиоды, которые расположены в непосредственной близости от фотолинейки на той же подвижной платформе. Сканеры на базе CIS имеют простую конструкцию, тонкий корпус и небольшой вес, что позволяет сделать сканер более тонким и легким по сравнению со сканерами с CCD-датчиками. Сканеры CIS, как правило, дешевле сканеров на базе CCD. Основной недостаток CIS состоит в малой глубине резкости.

Фотосенсор на основе CCD — это специализированная аналоговая интегральная микросхема, состоящая из светочувствительных фотодиодов, выполненная на основе кремния, использующая технологию ПЗС — приборов с зарядовой связью.

ПЗС-матрица состоит из поликремния, отделённого от кремниевой подложки, у которой при подаче напряжения через поликремневые затворы изменяются электрические потенциалы вблизи электродов. До экспонирования обычно подачей определённой комбинации напряжений на электроды происходит сброс всех ранее образовавшихся зарядов и приведение всех элементов в идентичное состояние. Далее комбинация напряжений на электродах создаёт потенциальную яму, в которой могут накапливаться электроны, образовавшиеся в данном пикселе матрицы в результате воздействия света при экспонировании. Чем интенсивнее световой поток во время экспозиции, тем больше накапливается электронов в потенциальной яме, соответственно тем выше итоговый заряд данного пикселя.
После экспонирования последовательные изменения напряжения на электродах формируют в каждом пикселе и рядом с ним распределение потенциалов, которое приводит к перетеканию заряда в заданном направлении, к выходным элементам матрицы.

Виды сканеров

планшетные — наиболее распространённый вид сканеров, поскольку обеспечивает максимальное удобство для пользователя — высокое качество и приемлемую скорость сканирования. Представляет собой планшет, внутри которого под прозрачным стеклом расположен механизм сканирования.
ручные — в них отсутствует двигатель, следовательно, объект приходится сканировать пользователю вручную, единственным его плюсом является дешевизна и мобильность, при этом он имеет массу недостатков — низкое разрешение, малую скорость работы, узкая полоса сканирования, возможны перекосы изображения, поскольку пользователю будет трудно перемещать сканер с постоянной скоростью.
листопротяжные (протяжные) — лист бумаги вставляется в щель и протягивается по направляющим роликам внутри сканера мимо лампы. Имеет меньшие размеры, по сравнению с планшетным, однако может сканировать только отдельные листы, что ограничивает его применение в основном офисами компаний. Многие модели имеют устройство автоматической подачи, что позволяет быстро сканировать большое количество документов.
планетарные или книжные сканеры — применяются для сканирования книг или легко повреждающихся документов. При сканировании нет контакта со сканируемым объектом (как в планшетных сканерах). Книжные сканеры — предназначены для сканирования брошюрованных документов. Сканирование производится лицевой стороной вверх — таким образом, Ваши действия по сканированию неотличимы от перелистывания страниц при обычном чтении. Это предотвращает их повреждение и позволяет пользователю видеть документ в процессе сканирования.
слайд-сканеры — как ясно из названия, служат для сканирования плёночных слайдов, выпускаются как самостоятельные устройства, так и в виде дополнительных модулей к обычным сканерам.
сканеры штрих-кода — небольшие, компактные модели для сканирования штрих-кодов товара в магазинах.

Принцип действия

Сканируемый объект кладется на стекло планшета сканируемой поверхностью вниз. Под стеклом располагается подвижная лампа, движение которой регулируется шаговым двигателем. Свет, отраженный от объекта, через систему зеркал попадает на чувствительную матрицу, далее на АЦП и передается в компьютер. За каждый шаг двигателя сканируется полоска объекта, которые потом объединяются программным обеспечением в общее изображение.

Изображение всегда сканируется в формат RAW — а затем конвертируется в обычный графический формат с применением текущих настроек яркости, контрастности, и т. д. Эта конвертация осуществляется либо в самом сканере, либо в компьютере — в зависимости от модели конкретного сканера. На параметры и качество RAW-данных влияют такие аппаратные настройки сканера, как время экспозиции матрицы, уровни калибровки белого и чёрного, и т. п.

Сканеры. История создания сканера. Виды сканеров.

Сканеры. История создания сканера.

Сканеры.

Сканер (англ. «scanner») — это устройство выполняющее перевод оптического изображения присущего данному объекту в электрические сигналы, которые используются для хранения, и воспроизведения данного изображения на экране электронных устройств либо на другие физические носители.

Во время сканирования в сканере создаётся цифровое описание внешнего изображения образа объекта в приемлемом для ЭВМ виде, которое затем передаётся посредством системы ввода-вывода на ЭВМ или другие устройства.

Процесс создания цифровой копии исходного изображения носит название сканирование.

История создания сканера.

Эксперименты с преобразованием оптического изображения в электрические сигналы начались еще до появления компьютеров.

Первое подобное устройство было запатентовано в 1843 году шотландским изобретателем Александром Бэйном. Его «записывающий телеграф» работал на телеграфных линиях и был способен передавать только черно-белые изображения, без полутонов. Однако для того времени это было огромным достижением.

В 1856 году флорентийский аббат Джованни Казелли создал свой прибор для передачи изображения на расстояние, названный впоследствии пантелеграф. Передаваемая картинка в пантелеграфе наносилась токопроводящими чернилами на металлический барабан и считывалась с помощью иглы.

В 1902 году немецкий физик Артур Корн запатентовал технологию фотоэлектрического сканирования, на основе которой был создан телефакс. Передаваемое изображение закреплялось на прозрачном вращающемся барабане, луч света от лампы, перемещающейся вдоль оси барабана, проходил сквозь оригинал, и через призму и объектив, попадал на селеновый фотоприёмник. Такой тип сканеров получил название барабанные сканеры. Они используются до сих пор.

В дальнейшем, с развитием полупроводников и вычислительной техники, начали совершенствоваться конструкции фотоприёмников, был изобретён планшетный способ сканирования, но сам принцип получения электрических сигналов сканируемого визуального изображения, предложенный Артуром Корном, остаётся практически неизменным.

Виды сканеров.

В настоящее время разработано множество универсальных и специализированных сканеров.

Основные типы сканеров. Сканеры бывают: ручные сканеры, настольные сканеры, рулонные сканеры, планшетные сканеры, барабанные сканеры, проекционные сканеры, слайд сканеры и др.

На фотографии ручной сканер.

На фотографии настольный документ сканер.

На фотографии фото-сканер.

На фотографии широкоформатный рулонный сканер.

Сканер. История создания сканера. Виды сканеров.

Женский сайт: Я-самая-красивая.рф (www.i-kiss.ru)

8 лучших инструментов сканеров IP для управления сетью — Information Security Squad

Одной из сложных задач для сетевых администраторов является управление IP-адресомами.

Она становится сложной, когда вы работаете в крупной организации, где подключены сотни сетей.

Управление IP-адресами в электронной таблице не причудливо.

Это становится беспорядочным, когда у вас тысячи IP.

следующим образом, поможет вам сканировать IP-адрес, порт, управлять IP-адресом и многое другое, это станет проще.

1 Бесплатный IP-сканер

Легкий автономный IP-сканер способен сканировать сотни компьютеров за секунду.

Он работает на ОС Windows и питается от технологии многопоточного сканирования.

Этот инструмент способен отображать информацию NetBIOS, такую как имя хоста, рабочую группу и т. д.

У вас есть возможность экспортировать результаты в файл.

2 Диспетчер IP-адресов

Передовой IP-менеджер от SolarWinds упакован множеством функций.

Управление DHCP, DNS и IP с помощью программного обеспечения SolarWinds очень просто.

Некоторые из функций:

IP-информация и отслеживание истории
Отслеживать IP-адрес автоматически
Запланировать сканирование, чтобы обеспечить актуальность данных
Возможность управления адресами IPv4 и IPv6
Будьте предупреждены, когда образуются конфликты IP или несогласованные записи DNS
Мониторинг устройств с поставщиками, таких как серверы Cisco, Microsoft, ISC DHCP, BIND и DNS-серверы Microsoft с единой платформой
vRealize Плагин Orchestrator для автоматизированного управления IP-сетями
Обнаружение и отслеживание подсети и связанных блоков
Найти IP-адрес
Делегирование администрирования ИС

Он предлагает API, который упрощает интеграцию с сторонним программным обеспечением.

Вы можете начать его с БЕСПЛАТНОЙ пробной версии, чтобы узнать, соответствует ли вам ваше требование.

3 Сканер Angry IP

Один из известных IP-сканеров с более чем 23 миллионами загрузок позволяет сканировать локальный и интернет-IP-адрес.

Angry IP-сканер — это программное обеспечение с открытым исходным кодом, которое работает на Windows, MAC и Linux.

Windows 10 HiDPI

Ubuntu HiDPI

Старая версия Mac OS X

Старая версия Linux

Windows 7 / Vista

Windows XP

Не только IP, но и возможность сканировать портов.

У вас есть возможность сохранить результаты сканирования в нескольких форматах (TXT, XML, файлы списков IP-портов, CSV).

Если вы знаете Java, вы можете расширить функциональность, написав плагин.

Как вы можете догадаться, у него есть зависимость от Java, поэтому убедитесь, что вы установили на свой компьютер java.

4 IP Scanner от Spiceworks

Автоматическое обнаружение устройств в локальной сети (локальная сеть).

Spiceworks IP-сканер доступен для Windows, OSX, Linux.

Если вы хотите быстро узнать все подключенные к сети устройства для инвентаризации, тогда это будет удобно.

5. Сетевой сканер

Сетевой сканер Lizard System позволяет анализировать вашу личную корпоративную сеть.

Он использует многопоточную технологию сканирования, которая позволяет сканировать тысячи подключенных к сети устройств в минуту.

Как вы можете видеть на скриншоте выше, вы получаете информацию NetBIOS, веб-сервер, FTP и многое другое.

Результаты могут быть экспортированы в формате HTML, TXT или XML.

Вы можете загрузить пробную версию с полным набором функций в течение десяти дней, чтобы узнать, работает ли это для вас.

6. Расширенный IP-сканер

Один из популярных сканеров, загруженных более 30 миллионов раз, предлагает вам проанализировать вашу ЛВС через минуту.

Advamced IP-сканер — портативный исполняемый файл, который можно использовать для доступа к сетевым ресурсам, дистанционному управлению через RDP, обнаружению MAC-адресов и т.д.

Как видно на рисунке выше, интерфейс имеет русский язык.

Он бесплатный!

7. Сканер диапазона IP

Бесплатное программное обеспечение от Lansweeper, способно сканировать вашу сеть и информацию о подключении к сети.

Вы можете планировать сканирование сети или запускаться по требованию, когда захотите.

Некоторые из ключевых функций:

Выполнение пользовательских команд
Открытие подсети
Импорт сетевого IP-адреса с использованием файлов CSV
Обнаружение внутренних и внешних IP-адресов

8.NMAP

Про Nmap уже неоднократно писал, но в этом обзоре этот необходим инструмент.

Как установить nmap на Windows

Этот список не будет полным без включения NMAP.

NMAP обычно известен как инструмент поиска сетевой безопасности, но это также можно использовать для поиска использования IP-адресов в сети.

Пример: если вы хотите узнать, какие IP-адреса подключены / онлайн в сети 10.0.0.1.

Вы можете просто выполнить приведенную ниже команду nmap.

 # nmap -sP 10.0.0. *

Сравнение инструментов изображения сети / Хабр

Когда я работал в нескольких государственных организациях ~~кавычкодавом, овощем~~ пентестером, суровые бородатые дяди в свитерах учили меня использовать только Nmap для сканирования сети. Сменив место работы, Добби стал свободен от предрассудков и решил выбрать сканер на основании псевдо-объективных данных сравнения функционала популярных сканеров, которые смогли найти в сети самостоятельно, или спросив у коллег, какой их любимый сканер.Собственно, о результатах внутреннего ~~холливара~~ сравнительных сетевых сканеров и решил написать статью. Объективность не гарантирую, но постарался сделать колличественный анализ. Кому интересно, что из этого вышло, добро пожаловать под кат.

Старый и опытный ~~волк~~ безопасник свой любимый и привычный консольный Nmap. Ещё один наш выходец из «госухи», коммоник, говорил, что разницы нету, опенсорсный или вендорский, главное — веб-интерфейс для работы. Ещё наш ~~погонщик~~ менеджер сказал, что вендорские сканеры — самые лучшие, аргументируя свои тем слова, что такие сканеры имеют постоянную поддержку, интерфейс для работы и постоянные обновления.

Дабы сгладить наши противоречия, было решено провести блиц-тестирование сетевых сканеров уязвимостей. Холивар среди пентестеров Hackenел нас к новой задаче — проведение сравнительной характеристики по результатам сканирования. Для проведения сравнения эффективности сканирования было выбрано четыре сканера: Rapid7 Nexpose, Tenable Nessus, OpenVAS 9 и Nmap. Их выбрали на основании аналитики интернет-публикаций и личного опыта. Лично я делал ставку на Nessus, но увы, не угадал.

Rapid7 Nexpose — это сканер уязвимостей, который выполняет активное сканирование ИТ-инфраструктуры на ошибочных конфигураций, дыр, отрицательных кодов, и рекомендации по их устранению.Под анализом попадают все компоненты инфраструктуры, включая сети, операционные системы, базы данных и веб-приложения. По результатам проверки Rapid7 Nexpose в режиме приоритетов классифицирует обнаруженные угрозы и генерирует отчеты по их устранению. [2]

Tenable Nessus Scanner — это сканер, предназначенный для обеспечения состояния защищённости традиционной ИТ-инфраструктуры, мобильных и облачных сред, контейнеров и т.д. По результатам сканирования выдаёт отчёт о найденных уязвимостях.Рекомендуется использовать, как составную часть Nessus Security Center. [3]

OpenVAS — это сканер уязвимостей с открытым исходным кодом. OpenVAS предназначен для активного мониторинга узлов компьютерной сети на предмет наличия проблем, оценки серьезности этих проблем и для их устранения. Активный мониторинг означает, что OpenVAS выполняет какие-то действия в узлом сети: сканирует открытые порты, посылает специальные сформированные пакеты для имитации атаки или даже авторизации на узле, получает доступ к консоли управления, и выполняет на нем команды.Затем OpenVAS анализирует собранные данные и делает выводы о наличии каких-либо проблем с безопасностью. Эти проблемы в большинстве случаев касаются установленного на известных и описанных уязвимости ПО, известных и описанных уязвимости, или же небезопасно настроенного ПО. [1,6]

Nmap — свободная утилита, предназначенная для разнообразного настраиваемого сканирования IP-сетей с любыми объектами, определения объектов сканируемой сети (портов и соответствующих им служб).Изначально программа была реализована для систем UNIX, но сейчас доступны версии для множества операционных систем. [4,5]

Тестовая среда

Для тестирования я собрал тестовую сеть на VMware Workstation 12 Pro в схеме, которая представлена на рис. 1.
Рис. 1. Схема сети

Поднятые виртуалки:

Windows 7 со всеми установленными обновлениями, запущенными приложениями XAMPP, развёрнутыми сервисами MySQL и Apache. Также развёрнута тестовая система DVWA.
Metasploitable 2 — операционная система с предустановленными уязвимыми сервисами и приложениями, которая используется для тестирования.
Ubuntu 16.04 c установленным IDS Suricata [10] и сконфигурированным iptables [9].
Kali Linux — дистрибутив Linux, который используется для тестирования на проникновения.
Перечень уязвимых сервисов в Metasploitable 2 в таблице 1.

Таблица 1

Сервис	Порт	Статус
Всфпд 2..four	21	Открыть
OpenSSH four.7p1 Debian 8ubuntu 1 (протокол 2. ноль)	22	Открыть
Служба telnetd для Linux	23	Открыть
Postfix smtpd	25	Открыть
ISC BIND 9.four.2	53	Открыть
Apache httpd 2.2. восемь Ubuntu DAV / 2	80	Открыть
Служба RPCbind	111	Открыть
Samba smbd .X	139, 445	Открыть
р предприятия	512, 513, 514	Открыть
GNU Classpath grmiregistry	1099	Открыть
Корневая оболочка Metasploitable	1524	Открыть
Служба NFS	2048	Открыть
ProFTPD 1..1	2121	Открыть
MySQL 5. ноль. 51a-3ubuntu5	3306	Открыть
БД PostgreSQL восемь .. ноль — восемь .. 7	5432	Открыть
Протокол VNC v1.	5900	Открыть
X11 сервис	6000	Открыть
Нереальный ircd	6667	Открыть
Протокол Apache Jserv 1.	8009	Открыть
Движок Apache Tomcat / Coyote JSP 1.1	8180	Открыть

На практике, когда проводится сканирование внутренних сетей межсетевого экрана и IPS, правила, исключающие блокировку сканирования. Поэтому Suricata использовалась в режиме детектирования, и были написаны разрешающие правила на межсетевом экране.

Конфигурация iptables [9]:

  #! / Bin / sh
эхо 1> / proc / sys / net / ipv4 / ip_forward
iptables -A INPUT -i lo -j ACCEPT
iptables -I FORWARD -j ACCEPT
iptables -A ВПЕРЕД -i ens34 -o ens33 -j ПРИНЯТЬ
iptables -t nat -A ПОСТРОУТИРОВАНИЕ -o ens33 -s 192.168.234.0 / 24 -j МАСКАРАД
iptables -A FORWARD -i ens33 -m state --state УСТАНОВЛЕНО, СВЯЗАННО -j ПРИНЯТЬ
iptables -A FORWARD -i ens33 -o ens34 -j REJECT

Nessus Scanner запускался в режиме «Базовое сканирование сети». [3]
Rapid 7 Nexpose запускался в режиме «Полный аудит без Web Spider». [2]
OpenVAS 9 запускался в режиме «по умолчанию». [1,6]
Nmap запускался двумя командами: [4,5]

nmap -sV -T4 -O -F —version-light 192.168.234.130-131
nmap -Pn —script vuln 192.168.234.130-131

Результаты тестирования

Nexpose обнаружил 527 уязвимости (см. Диаграмма 1), из них:
Репорт

167 — получили статус «критической» — уязвимости необходимо закрывать в первую очередь.
349 — получили статус «серьезный» — уязвимости сложны в эксплуатации, но могут привести к тяжёлым последствиям.
46 — получили «умеренные» — найденные уязвимости могут использовать атакующее сообщение о системе.

Найдены уязвимости не только тестированных систем, но и потенциальные уязвимости в системе виртуализации.

Tenable Nessus обнаружил 168 уязвимостей (см. Диаграмма 2), из них:
Репорт

3 — получили статус «критический»
9 — получили статус «высокий»
33 — получили статус «средний»
5 — получили статус «низкий»
118 получили статус «информация»

Уязвимости уровня «критический» и «высокий» необходимо закрывать в первую очередь.
Уязвимости «средний» — сложны в эксплуатации, но при должной проработке уровня нанести ущерб.
Уязвимости «low» и «info» — могут выполнить атакующее действие о системе, которое может применить при проведении атаки через другие уровня.

OpenVAS 9 обнаружил 53 уязвимости (см. Диаграмма 3), из них:
Репорт
Результаты срабатывания IDS

16 — получили статус «высокий»
33 — получили статус «средний»
4 — получили статус «низкий»

Уязвимости уровня «высокий» необходимо закрывать в первую очередь.
Уязвимости «средний» — сложны в эксплуатации, но при должной проработке уровня нанести ущерб.
Уязвимости уровня «низкий» могут быть использованы атакующие данные о системе, которую он может применить при проведении испытания через другие методы.

Отдельно следует отметить полученные результаты с помощью сканера Nmap. Сканирование проводилось двумя командами, которые описывались выше. Результатом выполнения операционной системы стал обнаруженные уязвимые сервисы и ссылки.

Использование скрипта «vuln» определенных категорий уязвимостей:

открытый telnet
http-csrf
http-перечисление
http-sql-инъекция
http-vuln-cve2017-1001000
rmi-vuln-classloader
mysql-vuln-cve2012-2122
ssl-ccs-впрыск
ssl-dh-params
ssl-пудель
irc-ботнет-каналы
http-cookie-флаги

Результаты работы Nmap и IDS
Результаты работы Nmap с использованием скрипта «vuln» и IDS

Выводы

Для формирования выводов я применил количественный метод оценки по количеству найденных уязвимостей.В результате эминилось, что наибольшую глубину сканирования проводит Nexpose. Довольно слабо отработал Nessus, так как в режиме развертки сети выдал много служебных данных о системах и сервисах, которые только дают информацию для аналитики. С очень слабой стороны показал себя сканнер OpenVAS 9 с последними обновлениями. Отдельного требует Nmap — очень хороший инструмент для аналитического тестирования с помощью NSE-скриптов.

Во время тестирования IDS Suricata обнаружила сканнеры NMap и OpenVAS.

Это тестирование не является каноничным, как например, тесты Gartner или NSS Labs. Но не смотря на это, думаю, статья будет актуальна для специалистов в сфере администрирования системного аудита.

П.С. А для чего это всё делалось?

Необходимо было ~~принять на вооружение~~ выбрать сканер для компании Hacken. Кроме того, проведение сканирования внутренней сети регламентировано стандарми управления информационной безопасностью в коммерчиских организациях, банковской, энергетической и прочих сферах деятельности.Сканирование сети необходимо проводить не только для получения сертификации для организаций, но и для управления уязвимостями в информационно-телекоммуникационной системе, контроля операционных систем и других не важных задач по управлению информационной безопасностью. [8, 11]

сравниваем восемь популярных сканеров / Блог компании T.Hunter / Хабр

Сканеры веб-приложений — довольно популярная сегодня категория софта. Есть платные сканеры, есть бесплатные. У каждого из них свой набор параметров и уязвимостей. Некоторые ограничиваются только теми, что публикуются в OWASP Top Ten (Open Web Application Security Project), некоторые идут в своем тестировании черного ящика гораздо дальше.

В этом посте мы собрали восемь популярных сканеров, рассмотрели их подробнее и попробовали в деле.В качестве тренировочных мишеней выбрали независимые точки на двух платформах (.NET и php): premium.pgabank.com и php.testsparker.com.

OWASP ZAP

Как можно догадаться по названию, за выпуск OWASP ZAP отвечает та самая организация OWASP. Это бесплатный инструмент для тестирования на проникновение и для поиска уязвимостей в веб-приложениях.

Основные возможности OWASP ZAP:

Man-in-the-middle Proxy
Традиционные пауки и пауки AJAX
Сканер автоматический
Пассивный сканер
Принудительный просмотр
Fuzzer

Дополнительные фичи

Динамические SSL-сертификаты
Поддержка смарт-карт и цифровых сертификатов клиента
Поддержка веб-сокетов
Поддержка широкого спектра языков сценариев
Поддержка Plug-n-Hack
Аутентификация и поддержка сеансов
Мощный API на основе REST
Опция автоматического обновления
Интегрированный и растущий рынок дополнений

Интерфейс программы переведен на русский, что будет удобно для некоторых пользователей.Рабочая область OWASP ZAP складывается из нескольких окон. Внизу — вкладки с текущими заданиями и процессом их выполнения, слева — дерево сайтов, также можно вывести в правую часть окна запросов и ответов.

С помощью маркетплейса можно немного расширить функциональность сканера.

У каждого компонента программы есть много настраиваемых параметров. Например, мы можем настроить входящие для активного сканирования, сгенерировать динамические SSL-сертификаты, добавить соединение HTTP-сессий и т.д.

Перейдем к тестам. При сканировании сайта php.testsparker.com была найдена слепая SQL-инъекция. На этом критичные уязвимости заканчиваются.

Полные результаты OWASP ZAP на php.testsparker.com

H: Advanced SQL Injection — AND boolean-based blind — WHERE or HAVING clause
M: X-Frame-Options Header Not Set
L: X-Content-Type- Параметры Заголовок отсутствует
L: Защита xss веб-браузера не включена

На премиум.bgabank.com мы видим более интересные результаты: найдена возможность Server Side Include (SSI) и Reflected Cross Site Scripting. Полные результаты OWASP ZAP на premium.bgabank.com

H: Включено на стороне сервера
H: Отраженный межсайтовый скриптинг
M: Заголовок X-Frame-Options не установлен
M: Сообщение об ошибке приложения
M: Просмотр каталогов
M: Защищенные страницы включают смешанный контент (включая сценарии)
L: Отсутствует заголовок X-Content-Type-Options
L: Защита xss веб-браузера не включена
L: Междоменное включение исходного файла JavaScript
L: Неполное или отсутствие контроля кеширования и Pragma HTTP Header Set
L: Cookie без флага HttpOnly
L: Cookie без Secure Flag
L: Заголовок Content-Type отсутствует
L: Раскрытие частного IP
I: Изображение раскрывает данные о местоположении или конфиденциальности

Все результаты сканирования можно экспортировать в отчет (поддерживается *.pdf, * .html, * .xml, * .json). В отчете подробно описываются уязвимости, найденные рекомендации, а также методы «закрытия» уязвимостей.

В целом работать с OWASP ZAP нам понравилось. Есть все необходимые инструменты для пентеста веб-приложения, простой и понятный интерфейс, быстрое сканирование в один клик. И при этом гибкие, глубокие настройки для более детального сканирования, может послужить отправной точкой для дальнейшего ручного поиска уязвимостей. Ниже мы еще расскажем о сканере Burp Suite Pro, который имеет OWASP ZAP много общего.По количеству и качеству найденных уязвимостей первый рассмотренный нами сканер показал очень неплохой результат. Рекомендован к использованию в работе.

W9scan

W9scan — это бесплатный консольный сканер уязвимостей сайта с более чем 1200 встроенными плагинами, которые могут распознавать веб-страниц, портов, проводить анализ структур веб-сайта, находить различные популярные уязвимости, сканировать на SQL Injection, XSS и т. д. Более полный список возможностей W9scan — Обнаружение отпечатков пальцев

Может определять отпечатки обычных веб-сайтов CMS (300+)
Узнаваемая общая рамка сайта
Определить общие отпечатки службы порта
Определить язык сценариев веб-сайтов
Определить тип операционной системы
Брандмауэр веб-сайта обнаружения (WAF)

— Параметр атаки

SQL-инъекция (на основе краулеров)
XSS инъекция (на основе рептилий)
Большое количество сканирований параметров Fuzz
CVE-уязвимость
struts Сбор уязвимостей (включая автоматическое обнаружение)
Shellshock cgi test
сердцебиение Кровоточащее сердце
Уязвимость парсинга IIS
Уязвимость IIS Put

— Насильственный взлом

Резервные копии файлов и каталогов (на основе краулеров)
Резервные копии файлов и каталогов (на основе доменного имени)
Общий справочник
Общий файл
Анализ насилия в субдомене
fckeditorПеречисление путей
Общее перечисление mdbdatabase
git svn Идентификация утечки
TOMCAT web.xml уступить дорогу

— Собрать сообщение

емейлов (на основе рептилий)
Частный IP (на основе рептилий)
E-mail (на основе рептилий)
Обнаружение предупреждений, критическая ошибка,…
Идентификация версии PHP
Раскрытие информации IIS
Присвоение IP-адреса
Встроенный скрипт распознавания Wappalyzer
роботов.txt Анализ
Обнаружение небезопасных заголовков в заголовках
Обнаружение небезопасных факторов в файлах cookie

W9scan автоматически генерирует отчеты о результатах сканирования в формате HTML. Для запуска требуется только указать URL сайта и плагины, которые будут установлены. Можно выбрать сразу все, дописав «все».

При сканировании php.testsparker.com W9scan нашел svn и возможные пути загрузки полезной нагрузки.Из менее критичного — определил версии используемых сервисов, возможные действия XXE, XXS-атак, нашел конфигурационные файлы сервера и провел поиск субдоменов.

На сайте premium.bgabank.com ничего критичного найдено не было. Устранение неисправностей.

По результатам сканирования W9scan автоматически генерирует отчет в формате HTML.

W9scan сканер подойдет для быстрого запуска в одну команду и мы рекомендуем использовать его как вспомогательный инструмент для определения версий сервисов, а также включая векторы атак.

Вапити

Ещё один неплохой консольный сканер. Так же, как и W9scan, готов к старту в одну команду, при этом имеет больше разных настроек сканирования.

Wapiti производит поиск уязвимостей:

Раскрытие файлов (локальное и удаленное включение / требование, fopen, чтение файла …)
Внедрение базы данных (инъекции PHP / JSP / ASP SQL и инъекции XPath)
Инъекция XSS (межсайтовый скриптинг) (отраженная и постоянная)
Обнаружение выполнения команды (eval (), system (), passtru ()…)
CRLF Injection (Разделение HTTP-ответа, фиксация сеанса …)
XXE (внешняя сущность XML) внедрение
SSRF (Подделка запросов на стороне сервера)
Использование известных потенциально опасных файлов
Слабые конфигурации .htaccess, которые можно обойти
Наличие файлов резервных копий с конфиденциальной информацией
Shellshock

В дополнение ко всему перечисленному имеется поддержка прокси (HTTP, HTTPs и SOCKS5), различные методы аутентификации (Basic, Digest, Kerberos, NTLM), поддержка SSL-сертификатов, возможность добавления различных HTTP-заголовков или пользовательского агента.

При сканировании сайта php.testsparker.com были найдены уязвимости слепое внедрение SQL, межсайтовое скриптование, выполнение команд. На premium.bgabank.com Wapiti в сравнении с другими сканерами не показывает такие выдачи: были обнаружены только Cross Site Scripting.

По результатам работы сканера также формируется отчет в формате HTML, в котором имеются категории и число найденных уязвимостей, их описание, запросы, команды для curl и советы о том, как закрыть найденные дыры в безопасности.

Как и следовало ожидать, Wapiti до уровня OWASP ZAP, конечно, не дотягивает. Но все же он отработал качественнее W9scan , хотя не был произведен поиск директорий, субдоменов и определение версий сервисов.

Arachni

Мощный бесплатный комбайн для теста защищенности веб-приложений и поиска уязвимостей. Имеет графический интерфейс и огромную функциональность, о которой более подробно можно почитать на официальном сайте.

Активное тестирование:

SQL-инъекция — обнаружение ошибок
Слепая SQL-инъекция с использованием дифференциального анализа
Слепое внедрение SQL-кода с использованием временных атак
NoSQL-инъекция — обнаружение уязвимости на основе ошибок
Слепое внедрение NoSQL с использованием дифференциального анализа

Полный список функций для активного тестирования

Обнаружение CSRF
Код впрыска
Внедрение слепого кода с использованием временных атак
Впрыск LDAP
Обход пути
Включение файла
Разделение ответа
Внедрение команды ОС
Слепое внедрение команд ОС с использованием временных атак
Удаленное включение файла
Непроверенные перенаправления
Непроверенные перенаправления DOM
XPath впрыск
XSS
Путь XSS
XSS в атрибутах событий HTML-элементов
XSS в тегах HTML
XSS в контексте скрипта
ДОМ XSS
Контекст сценария XSS DOM
Раскрытие исходного кода
Внешний объект XML

Пассивное тестирование:

Разрешенные методы HTTP
Файлы резервных копий
Каталоги резервных копий
Общие административные интерфейсы
Общие справочники
Общие файлы

Полный список функций для пассивного тестирования

HTTP PUT
Недостаточная защита транспортного уровня для форм паролей
Обнаружение WebDAV (webdav).
Обнаружение HTTP TRACE
Раскрытие номера кредитной карты
Раскрытие информации о пользователе CVS / SVN
Раскрытие частного IP-адреса
Общие бэкдоры
.htaccess LIMIT неправильная конфигурация
Интересные отзывы
объект HTML grepper
Раскрытие электронного адреса
Раскрытие номера социального страхования США
Принудительный список каталогов
Смешанные ресурсы / сценарии
Небезопасные файлы cookie
HttpOnly cookies
Автозаполнение полей формы пароля.
Обход ограничения доступа Origin Spoof
Загрузка на основе формы
localstart.asp
Набор cookie для родительского домена
Отсутствуют заголовки Strict-Transport-Security для сайтов HTTPS
Отсутствуют заголовки X-Frame-Options
Небезопасная политика CORS
Небезопасная междоменная политика
Небезопасная междоменная политика
Небезопасная политика клиентского доступа

Внушительно, не правда ли? Но и это не все.В «паутину» завернута ещё куча плагинов, например Passive Proxy, Атакующий словарь для HTTP Auth, Сборщик файлов cookie, Детектор WAF и др.

Сканер имеет приятный и лаконичный веб-интерфейс:

И вот что нашел Arachni на наших тестовых сайтах. Php.testsparker.com :

Межсайтовый скриптинг (XSS) в контексте скрипта
Слепое внедрение SQL (дифференциальный анализ)
Код впрыска
Внедрение кода (синхронизация атаки)
Внедрение команд операционной системы (синхронизация)
Внедрение команд операционной системы

Остальные уязвимости на php.testsparker.com

H: включение файла
H: межсайтовый скриптинг (XSS) в теге HTML
H: межсайтовый скриптинг (XSS)
H: обход пути
M: резервный файл
M: общий каталог
M: HTTP TRACE
L: Отсутствует заголовок «X-Frame-Options»
L: Поле пароля с автозаполнением
L: Небезопасная политика клиентского доступа
L: Небезопасная междоменная политика (разрешить доступ от)
L: Общие конфиденциальный файл

На premium.bgabank.com из критичного была обнаружена только возможность межсайтовой подделки запросов (CSRF). Полные результаты Arachni на premium.bgabank.com

H: Подделка межсайтовых запросов
M: Смешанный ресурс
M: HTTP TRACE
M: Общий каталог
M: Отсутствует заголовок «Strict-Transport-Security»
L: Частный Раскрытие IP-адреса

Отдельно отметим, какие симпатичные отчеты выдает нам Arachni. Поддерживается немало форматов — HTML, XML, текст, JSON, Marshal, YAML, AFR.

В общем, Arachni оставляет после работы только положительные впечатления.Наше мнение: это «маст хэв» в арсенале любого уважающего себя спеца .

Парос

Еще один сканер веб-уязвимостей с графическим интерфейсом. По умолчанию включен в дистрибутив Kali Linux и установлен там локально. Имеет встроенный прокси, через который добавляются сайты для анализа, встроенный веб-паук, способный анализировать сайт и строить карту запросов.

Для сканирования личного кабинета пользователя необходимо авторизоваться в браузере с включенным перенаправлением трафика через прокси Paros.Сканер будет использовать авторизованные куки в процессе сканирования. Отчет о работе можно экспортировать в HTML. Он сохраняет в файле root / paros / session / LatestScannedReport.htm и в дальнейшем перезаписывается. Если вы хотите сохранить результат предыдущего сканирования, то перед следующим шагом необходимо создать копию имеющегося файла.

Основные возможности (с оглядкой на OWASP TOP 10 2017):

A1: Инъекция — SQLinjection, SQLinjection Fingerprint (места, где может быть SQLinj)
A6: Неверная конфигурация безопасности — просмотр каталогов, файл по умолчанию ISS, раскрытие исходного файла Tomcat, файлы по умолчанию IBM WebSphere и некоторые другие стандартные или устаревшие файлы (устаревший файл), исходный код и прочее.
A7: XSS

Дополнительные возможности:

Поиск включенного автозаполнения для форм паролей. При этом если у поля input есть атрибут type = «пароль», получается ложное срабатывание.
CRLF впрыск
Кэширование защищенных страниц браузера (кэширование страниц в браузере c информацией)
Возможность сканирования защищенной области пользователя (личный кабинет)
Возможность сканирования веб-приложений в локальной сети

В финальном отчете для каждого типа уязвимостей есть подробная информация и некоторые рекомендации по способе устранения.

В нашем тестировании Paros показали довольно слабые результаты. На php.testsparker.com были найдены:

H: SQL-инъекция
M: XSS
M: Устаревшие файлы с исходным кодом
M: Использование автозаполнения в формех с информацией (пароли и прочее).
L: Раскрытие внутренних IP
На premium.bgabank.com и того меньше:
M: Просмотр каталогов
M: Использование автозаполнения в формах с информацией (пароли и прочее).

В итоге, хотя сканер Paros достаточно удобен в использовании, слабые результаты сканирования заставляют отказаться от его использования .

Tenable.io

Платный многофункциональный облачный сканер, который умеет находить большое число веб-уязвимостей и почти полностью покрывает OWASP TOP 10 2017.

Сервис имеет встроенного паука. Если в настройках укажите данные авторизации (запрос авторизации, логин и пароль, авторизованные куки), то сканер проверит и личный кабинет (зона авторизованного пользователя).

Кроме сканирования веб-приложений, Tenable.io умеет сканировать сеть — как на предмет известных уязвимостей, так и поиска для хостов. Возможно подключение агентов для сканирования внутренней сети. Есть возможность экспортирования отчета в различных форматах: * .nessus, * .csv, * .db, * .pdf.

На скриншоте все домены «тестовые»

Дополнительные профили сканиров. В данной статье не рассматриваются

После сканирования становится доступной статистика и приоритизация найденных уязвимостей — критическая, высокая, средняя, низкая, информация

В карточке уязвимости представлена информация о ней и некоторые рекомендации по ее устранению.

Сканируем php.testsparker.com . Уязвимости с приоритетом высоким:

H: Уязвимости компонентов
— вышедшая из поддержки версии PHP
— вышедшая из поддержки версии Apache
H: внедрение кода
H: SQLinj
H: XSS
H: LFI
H: обход пути

Средний — и низкая уязвимость

M: Раскрытие ценных бумаг — полный путь, бекапы
M: Раскрытие внутренних IP
M: Cookie без флага HTTPOnly
M: Отправка пароля по HTTP
L: Использование автозаполнения в формах с информацией
L: Ответ сервера на TRACE установлены запросы
L: Не header`ы Cache-Control, X-Content-Type-Options, X-Frame-Options, X-XSS-Protection

Теперь премиум.bgabank.com . Уязвимости с приоритетом высоким:

H: Уязвимости компонентов

вышедшая из поддержки версии PHP
уязвимости Apache
уязвимости Bootstrap
уязвимости JQuery

Средняя и низкая уязвимости

M: Веб-сервер phpinfo ()
M: Совместное использование HTTP и HTTPS
M: Отсутствие перенаправления с HTTP на HTTPS
M: Просмотр каталогов
M: Найдены файлы резервных копий
M: Использование небезопасной версии протокола SSL
M: Истечение срока сертификата SSL / TLS
L: Раскрытие внутреннего IP
L: Cookie без флага HTTPOnly
L: Ответ сервера на TRACE запросы
L: Не установлены header`ы Strict-Transport-Security, Cache- Control, X-Content-Type-Options, X-Frame-Options, X-XSS-Protection

Сканер Tenable.io показал себя хорошо, нашел уязвимостей . Работу с ним упрощает графический интерфейс и представление данных. Еще один плюс — наличие дополнительных профилей сканирования, которые мы пока решили не зарываться. Важной особенностью является облачная структура сервиса. С одной стороны, сервис не использует локальные вычислительные ресурсы рабочего компьютера. С другой стороны — не сможет просканировать веб-приложения в данной сети.

Burp Suite Pro

Burp Suite — это комплексное решение для проверок веб-приложений.Оно включает в себя разнообразные утилиты, позволяющие улучшить и ускорить поиск уязвимостей веб-приложений.

В составе Burp Suite есть следующие утилиты:

Прокси-прокси-сервер, который перехватывает трафик, проходящий по протоколу HTTP (S), в режиме человек посередине. Находясь между браузером и целевым веб-приложением, эта утилита позволяет перехватывать, изучать и анализировать трафик, идущий в обоих направлениях.
Spider — веб-паук, который в автоматическом режиме собирает информацию о содержимом и функционале приложения (веб-ресурса).
Scanner (только в Burp Suite Pro) — сканер для автоматического поиска уязвимостей в веб-приложениях.
Intruder — гибкая утилита, позволяющая в автоматическом режиме режима различного вида. Например, перебор способов, сбор информации и прочее.
Repeater — инструмент для ручного изменения и повторной отправки отдельных HTTP-запросов, а также для анализа ответов приложения.
Sequencer — утилита для анализа случайных данных приложения на возможность предсказания алгоритма их генерации.
Decoder — утилита для ручного или автоматического кодирования и декодирования приложений.
Comparer — инструмент для поиска визуальных различий между двумя вариациями данных.
Extender — инструмент для добавления расширений в Burp Suite

Утилита представлена в одноименной основной окна программы Burp Suite. Интерфейс русскоязычный, но кого сейчас это может отпугнуть?

На вкладке Определение представлен полный список всех уязвимостей, которые способны выявить данный сканер.Следует отметить, что список весьма внушительный.

Все уязвимости разделены на 3 категории: высокая, средняя, низкая. Также есть категория информации, к которой относится механизм сбора полезной информации о сканируемом ресурсе.
При запуске сканирования в окне Scan queue мы наблюдаем за прогрессом по этапам. «Цветовая дифференциация штанов» присутствует.

Опции На вкладке выполняется выполняет настройку шифрования.

Для удобства опции разбиты по категориям. При необходимости можно получить справку по каждой категории прямо из окна настройки.

В целом Burp Suite Pro показал неплохой результат. При сканировании php.testsparker.com было найдено и классифицировано достаточно уязвимостей для получения полного контроля над веб-приложением и его данными — это и внедрение команд ОС, и SSTI, и обход пути к файлу.

Полные результаты Burp Suite Pro на php.testsparker.com

H: Внедрение команды ОС
H: обход пути к файлу
H: Внеполосная загрузка ресурсов (HTTP)
H: внедрение шаблона на стороне сервера
H: межсайтовый скриптинг (отраженный)
H: Междоменная политика Flash
H: междоменная политика Silverlight
H: отправка пароля
открытым текстом H: Взаимодействие с внешними службами (DNS)
H: Взаимодействие с внешними службами (HTTP)
M: SSL-сертификат (недоверенный или просроченный)
L: Поле пароля с включенным автозаполнением
L: угон самолета действиями формы (отраженный)
L: Незашифрованная связь
L: Строгая транспортная безопасность не обеспечивается

На сайте премиум.bgabank.com были найдены:
H: Межсайтовый скриптинг (отраженный)
M: SSL cookie без установленного флажка безопасности
M: SSL-сертификат (недоверенный или просроченный)
L: Cookie без установленного флага HttpOnly
L: Поле пароля с включенным автозаполнением
L: Строгая безопасность транспорта не соблюдается.

Если для веб-пентеста вы часто используете Burp Suite , вам нравится его экосистема, но хотелось бы как-то автоматизировать процесс поиска уязвимостей, то эта утилита отлично впишется в ваш арсенал .

Acunetix

В заключение — еще один весьма неплохой коммерческий сканер. Его очень активно продвигают с помощью рекламы, но Acutenix не добился успеха без своей обширной функциональности. Среди доступных ему для обнаружения уязвимостей — все виды внедрения SQL, межсайтовые сценарии, внедрение CRLF и прочие радости пентестера веб-приложений. Стоит отметить, что для качественного сканирования требуется выбрать правильный профиль.

Интерфейс дашборда приятный:

Все выявленные уязвимости по традициям раскладываются на категории: высокий, средний, низкий.Ну и куда же без категории Информация, в которую включаются все интересные, по мнению сканера, данные.

На вкладке Сканирование мы можем проводить сканирование и прочую диагностическую информацию.

После завершения сканирования на вкладке Уязвимости мы можем ознакомиться с тем, что и в каком количестве было найдено. Цветовая дифференциация на месте.

В тесте на php.testsparker.com сканер показал неплохой результат, а вот с premium.bgabank.com откровенно подкачал.

Полные результаты Acunetix php.testsparker.com:
H: Apache 2.2.14 mod_isapi Dangling Pointer
H: слепое внедрение SQL-кода
H: межсайтовый скриптинг
H: Межсайтовый скриптинг (проверено)
H: обход каталога
H: Включение файла
H: внедрение кода PHP
H: внедрение шаблона на стороне сервера
H: Найдено хранилище SVN
H: управляемый пользователем источник сценария
M: обнаружена база данных Access
М: Apache 2.x версия старше 2.2.9
M: удаленный отказ в обслуживании Apache httpd
M: раскрытие файлов cookie httpOnly Apache
M: сообщение об ошибке приложения
M: резервные файлы
M: Справочник
M: HTML-форма без защиты CSRF
M: небезопасный файл clientaccesspolicy.xml
M: Частично управляемый пользователем источник сценария
M: PHP зависает при анализе определенных строк как числа с плавающей запятой
M: PHP preg_replace используется при вводе пользователем
M: Раскрытие исходного кода
M: учетные данные пользователя отправляются в виде открытого текста
L: Apache 2.x версия старше 2.2.10
L: Apache mod_negotiation имя файла брутфорс
L: Clickjacking: отсутствует заголовок X-Frame-Options
L: Атака подбора пароля для страницы входа
L: возможная перезапись относительного пути
L: возможные конфиденциальные каталоги
L: возможные конфиденциальные файлы
L: метод TRACE включен

premium.bgabank.com:
L: Clickjacking: отсутствует заголовок X-Frame-Options

Acunetix имеет большие возможности и подойдет, если вы ищете автономное решение .Веб-интерфейс прост и понятен, инфографика и отчеты выглядят вполне удобоваримо. Возможны осечки при сканировании, но, как говорил Тони Старк: «С мужиками такое случается. Не часто. Один разок из пяти ».

Общие итоги

А теперь выводы по всем протестированным сканерам.

OWASP ZAP нам понравился. Рекомендуем к использованию.
W9scan мы рекомендуем использовать как вспомогательный инструмент для определения версий и сервисов, а также использовать векторы атак.
Wapiti до OWASP ZAP не дотягивает, но у нас отработал качественнее W9scan.
Arachni — это просто «маст-хэв».
Paros сканирует слабо, и мы его не рекомендуем.
Tenable.io хорош, находит множество уязвимостей. Но стоит учесть, что он облачный.
Burp Suite Pro мы советуем тем, кому нравится экосистема Burp Suite, но не хватает системы.
Acunetix подойдет тем, кто ищет сканер как автономное приложение.