随着网站业务内容的增加和重要性的增加,网站本身的价值也越来越大,网站漏洞带来的安全问题也越来越严重。新开放的网站和新专栏的访问质量评估、网站系统日常运行的检查预防和风险控制已成为各行业年度安全检查的关键因素。作为实施定期检查的具体安全人员,也迫切需要选择优秀的网站扫描产品进行高效、彻底的检查Web脆弱性评估检查,如何选择真正实用的产品成为一个纠结的问题。
常见Web扫描方案的优缺点
目前常见的支持Web扫描解决方案的产品很多,大家都很熟悉。Web多合一系统扫描器扫描模块,开源扫描费下载的开源扫描软件,以及近年来刚刚出现的独立Web扫描产品等,可以在一定程度上进行Web安全扫描和漏洞发现。因此,面对如此琳琅满目的选择,如何仔细区分和识别差异,需要严格基于实际需要,最终做出***的判断。
多合一系统扫描仪通常集主机扫描、配置验证、Web扫描和弱密码扫描是一种强大而全面的多功能产品。然而,当多合一的高度包装导致安全扫描时,除了无法分配所有计算资源外Web扫描方面,扫描引擎本身也要兼顾全方位的权衡和调整。另一方面,目标是目标Web应用程序呈现的类型多样性、规模大、运行特殊性,面对数万、数十万甚至数十万***在不同网页数量的网站上,这种多合一产品不尽如人意,使用起来感觉像牛拉火车;同时,高效的扫描评估必须具备高并发的网页链接爬虫识别和Web插件交互逻辑判断能力的现实冲突导致多合一扫描仪Web扫描和性能体验效果平平,优势不突出。
网上开源的Web虽然扫描软件是完全免费的,可以找到一些基本的漏洞信息,但它在***时间发现新爆炸Web在跟踪、分析和修复漏洞和漏洞趋势方面,完全没有后期支持能力。此外,人性化设计和低学习门槛存在太多先天性缺陷,其性能和稳定性与商业软件相去甚远。
面对综上所述的同类产品,我很困惑Web扫描场景需要各种限制,我们很高兴看到近年来声名鹊起Web扫描产品。它作为一种自动评估工具,根据制定的策略进行评估Web应用系统URL深度发现并全面扫描,找出Web应用跨站点脚本等真实安全漏洞,SQL注入,命令执行、目录遍历和不安全的服务器配置。Web通过主动生成统计分析报告,扫描产品可以帮助我们正确理解Web应用漏洞的详细分布、数量和风险优先级,并对发现的安全漏洞提出相应有效的改进意见,供后续修复参考,帮助我们高效彻底地进行Web脆弱性评估检查的坚实利器。
Web三个误区扫描器
针对现有市场上众多品牌Web扫描仪,人们在评价自己的优劣时往往过于片面极端,主要表现为三种误解。
误区1:多就好!
认为漏洞库条目多,检查漏洞多就好。Web扫描器面对庞大繁多、千差万别的应用系统,为提升检测性能,多采用高效率的Web一般插件,多扫描,不再局限于特殊的应用系统,深度聚合和合并,尽可能多地发现各种应用系统的类似漏洞。同时,对于扫描的非误报漏洞,如果属于页面不同参数造成的相同漏洞,总结整理,使最终漏洞报告简单但不简单,避免数量冗余和混乱。因此,如果没有插件合并能力,只有大量的特殊性Web系统插件和列出的各种漏洞列表数量来赢得赞誉Web扫描器的本质上太不专业了。
误区2:快就是好!
认为扫描速度快、耗时短是好的。网站规模越来越复杂,我们期待着日常检查。Web扫描仪能更高效地完成扫描任务是可以理解的,但检查的本质是***提前发现足够的漏洞,并限制***制定相应的后续修复计划。因此,面对同一目标站点时,Web如果扫描器能在单位时间内检测到的有效漏洞越多,那么这个速度真的很好。
误区3:小就好!
认为扫描对目标业务影响小是好的!这句话本身没有问题,只要Web在扫描过程中,扫描仪对目标系统负载响应和网络链路带宽占用的影响足够小,这就是我们常说的“无损扫描”,它有一个优秀的Web扫描仪的先决条件。然而,这必须是能够的***限度发现Web只有在漏洞的前提下才能考虑的关键因素,脱离了产品的本质,本末倒置。
五项基本评价标准
然后,评估一个Web扫描器,我们应该从哪里开始?具体的判断标准是什么?
全——识别的种类很多Web应用,集成最完整Web通用插件,通过全面识别网站结构和内容,逐一判断每个漏洞的可能性,换句话说,漏洞扫描检测率必须高,漏报率必须低,最终输出全面详细的扫描报告。这需要它Web在应用识别方面,支持各种应用识别Web语言类型(php、asp、.net、html)、应用程序类型(门户、电子政务、论坛、博客、网上银行)(IIS、Apache、Tomcat)、第三方组件类型(Struts2、WebLogic、WordPress)等;在插件集成方面,支持国际标准漏洞分类OWASP ***0和WASC允许自定义扫描插件模板的插件分类模板,***时间插件更新速度等。
准——漏洞精度较高Web可视化分析可以帮助用户准确定位和分析扫描器权威的象征。误报是扫描产品不可避免的话题。Web扫描仪通过通用插件与目标站点的任何一个URL页面进行逻辑交互,通过可视化的漏洞跟踪技术准确判断和定位漏洞,并提供易于阅读和理解的详细整改分析报告。此外,一个好的Web扫描仪应更加人性化。发现漏洞后,允许扫描仪批量验证手动和自动漏洞,从而双重保证更高的准确性结果。
快——快速扫描速度的网站规模和越来越频繁的网站检查,快速扫描速度可以轻松保证进度。Web扫描仪除了具有强马力的扫描引擎外,还具有高达100万/天的扫描速度,还具有弹性灵活的集群扫描能力,任意添加扫描节点,轻松满足可能苛刻的扫描周期时间要求。
稳——稳定可靠的运行过程对目标环境几乎没有影响Web扫描仪可以广泛应用于各种行业,特别是一些对业务影响要求严格的行业。毕竟,没有人能接受评估产品,这将对目标造成额外的损害。现在市场上有一些Web扫描产品根据目标环境的负载动态变化,通过周期探索目标系统、网络链路、自身性能负载等机制,自动调整扫描参数,确保扫描过程足够稳定,几乎没有影响。此外,随着网站规模和检查范围的不断扩大,确保持续稳定的扫描执行和统计评估,尽量避免半途而废,并提出了更高的可靠性操作要求。
易——人性化界面配置、低成本报告学习和强有力的指导性修复建议。特别是在漏洞分布细节和场景再现方面,市场上大多数Web扫描仪的报表需要专业安全人员的二次解释,普通安全运行维护检查人员可以理解,了解百页报告的重要建议和下一步的具体维修措施,这无疑给用户造成了更高的技术门槛,所以如何解决易读、易用的问题,已成为评价其优缺点的重要指标。
总之,一个优秀的Web扫描产品,需要严格遵守五字核心政策,全面、准确、快速、稳定、方便,实现全面平衡,以实现基本优秀。同时,随着网站检查需求的日益多样化,如果能附加一些差异化特点,满足网站安全运维扫描要求的不同场景,如网站基本信息收集、漏洞全过程时间轴跟踪、逐步可视化漏洞验证和场景重现、自动维修通过列车等,将大大提高扫描的评价。