Web套用掃描器通過Web前端與Web應用程式通信,可以自動檢查Web應用程式,探測、分析其回響,從而發現潛在的安全問題和架構缺陷。其掃描方式和掃描特性在很大程度上決定著功能是否強大。
基本介紹
- 中文名:Web套用掃描器
簡介,Web掃描器的三個誤區,
簡介
Web套用掃描器通過Web前端與Web應用程式通信,可以自動檢查Web應用程式,探測、分析其回響,從而發現潛在的安全問題和架構缺陷。其掃描方式和掃描特性在很大程度上決定著功能是否強大。企業在選擇Web套用掃描方案時應考慮的重要特性主要有如下方面:
自動發現隱藏的應用程式;對應用程式進行分組,以便於掃描和報告;可從幾個套用無縫擴展到大量套用;根據用戶設定的具體時間進行掃描;使用多種認證形式進入套用;高效地掃描企業網路中不同部分的應用程式;根據最佳操作指南確定漏洞;發現隱藏在應用程式中的惡意軟體;幫助安全管理者確定首先修復哪些漏洞;可用於Web套用的各個階段(開發、測試、生產等階段);多人互不干擾地同時使用。
Web掃描器的三個誤區
針對現有市面上諸多品牌的Web掃描器,大家在評價它們孰優孰劣時時常過於片面極端,主要表現為三個認識誤區。
誤區1:多就是好
認為漏洞庫條目多,檢查出來的漏洞多就是好。Web掃描器面對龐大繁多、千差萬別的套用系統,為提升檢測性能,多採用高效率的Web通用外掛程式,以一掃多,其不再局限於某個專門套用系統,深層次聚合歸併,儘可能多地發現多種套用系統的同類漏洞。同時,對於掃描出來的非誤報漏洞,若同屬某一頁面不同參數所致的相同漏洞,歸納整理,讓最終呈現的漏洞報表簡約而不簡單,避免數量冗餘、雜亂無章。故若以毫無外掛程式歸併能力,僅靠大量專門Web系統外掛程式、羅列各類漏洞列表數量多來博取讚許的Web掃描器,其本質存在太多的不專業性。
誤區2:快就是好
認為掃描速度快耗時短的就是好。網站規模日趨複雜,日常檢查時我們期待Web掃描器能有更高效率地完成掃描任務,這點無可厚非,但檢查的本質是要最大限度地提前發現足夠多的漏洞,並第一時間制定後續相應的修補計畫。故在面對同一目標站點時,Web掃描器若能在單位時間內檢測出來的有效存在漏洞數越多,這個快才是真的好。
誤區3:小就是好
認為掃描過程中對目標業務影響小就是好!這句話本身也沒有問題,只要Web掃描器在執行掃描過程中,對目標系統負載回響和網路鏈路頻寬占用,影響足夠小,也就是我們常說的“無損掃描”,它就具備了一款優秀Web掃描器應有的先決條件。但是,這必須是在能最大限度發現Web漏洞的前提下才能考慮的關鍵因素,脫離這個產品本質,就本末倒置了。
誤區1:多就是好
認為漏洞庫條目多,檢查出來的漏洞多就是好。Web掃描器面對龐大繁多、千差萬別的套用系統,為提升檢測性能,多採用高效率的Web通用外掛程式,以一掃多,其不再局限於某個專門套用系統,深層次聚合歸併,儘可能多地發現多種套用系統的同類漏洞。同時,對於掃描出來的非誤報漏洞,若同屬某一頁面不同參數所致的相同漏洞,歸納整理,讓最終呈現的漏洞報表簡約而不簡單,避免數量冗餘、雜亂無章。故若以毫無外掛程式歸併能力,僅靠大量專門Web系統外掛程式、羅列各類漏洞列表數量多來博取讚許的Web掃描器,其本質存在太多的不專業性。
誤區2:快就是好
認為掃描速度快耗時短的就是好。網站規模日趨複雜,日常檢查時我們期待Web掃描器能有更高效率地完成掃描任務,這點無可厚非,但檢查的本質是要最大限度地提前發現足夠多的漏洞,並第一時間制定後續相應的修補計畫。故在面對同一目標站點時,Web掃描器若能在單位時間內檢測出來的有效存在漏洞數越多,這個快才是真的好。
誤區3:小就是好
認為掃描過程中對目標業務影響小就是好!這句話本身也沒有問題,只要Web掃描器在執行掃描過程中,對目標系統負載回響和網路鏈路頻寬占用,影響足夠小,也就是我們常說的“無損掃描”,它就具備了一款優秀Web掃描器應有的先決條件。但是,這必須是在能最大限度發現Web漏洞的前提下才能考慮的關鍵因素,脫離這個產品本質,就本末倒置了。
