隨著網(wǎng)站業(yè)務(wù)所承載內(nèi)容的日益增多且重要性日益增強(qiáng),網(wǎng)站本身的價(jià)值也越來(lái)越大,隨之由網(wǎng)站漏洞帶來(lái)的安全性問(wèn)題也愈發(fā)嚴(yán)峻。新開(kāi)通網(wǎng)站、新增專欄的準(zhǔn)入質(zhì)量評(píng)估,網(wǎng)站系統(tǒng)日常運(yùn)行狀況的檢查預(yù)防和風(fēng)險(xiǎn)掌控,這些已成為各行業(yè)每年安全大檢查中的關(guān)鍵要素。作為具體落實(shí)定期檢查工作的安全人員,也急需選擇一款優(yōu)秀的網(wǎng)站掃描產(chǎn)品進(jìn)行高效徹底的Web脆弱性評(píng)估檢查,而如何選擇一款真正實(shí)用的產(chǎn)品成為一個(gè)比較糾結(jié)的難題。
常見(jiàn)Web掃描方案的優(yōu)劣勢(shì)
目前常見(jiàn)的支持Web掃描解決方案的產(chǎn)品有很多,大家比較熟悉的有集成Web掃描模塊的多合一系統(tǒng)掃描器,網(wǎng)上可免費(fèi)下載的開(kāi)源掃描器軟件以及近幾年剛嶄露頭角的獨(dú)立Web掃描器產(chǎn)品等,都可以進(jìn)行一定程度的Web安全掃描和漏洞發(fā)現(xiàn)。那么面對(duì)如此琳瑯滿目的選擇時(shí),大家如何細(xì)致區(qū)分辨識(shí)其差異,就需嚴(yán)格立足于實(shí)際需要,最終做出最佳的判斷。
多合一的系統(tǒng)掃描器,通常會(huì)集主機(jī)掃描、配置核查、Web掃描及弱口令掃描于一身,是一款強(qiáng)大全面的多功能產(chǎn)品。但多合一的高度封裝導(dǎo)致其在進(jìn)行安全掃描時(shí),除不能分配全部計(jì)算資源在Web掃描方面,掃描引擎自身還要兼顧到全方位的權(quán)衡與調(diào)優(yōu)。反觀目標(biāo)Web應(yīng)用呈現(xiàn)的種類多樣性、規(guī)模龐大性和運(yùn)行特殊性,在面對(duì)動(dòng)輒上萬(wàn)、十萬(wàn)甚至百萬(wàn)級(jí)別網(wǎng)頁(yè)數(shù)量的網(wǎng)站時(shí),這種多合一產(chǎn)品就表現(xiàn)得差強(qiáng)人意,使用起來(lái)有種牛拉火車的感覺(jué);同時(shí),高效執(zhí)行掃描評(píng)估就必須具備高并發(fā)的網(wǎng)頁(yè)鏈接爬蟲(chóng)識(shí)別和Web插件交互邏輯判斷能力,這一現(xiàn)實(shí)的沖突導(dǎo)致多合一掃描器在Web掃描及性能體驗(yàn)方面效果平平,優(yōu)勢(shì)不突出。
網(wǎng)上開(kāi)源的Web掃描器軟件,盡管完全免費(fèi)并可以發(fā)現(xiàn)一些基本的漏洞信息,但其在第一時(shí)間發(fā)現(xiàn)新爆Web漏洞和漏洞趨勢(shì)跟蹤分析、修補(bǔ)方面,完全不具備后期支撐能力。而且在人性化設(shè)計(jì)及低學(xué)習(xí)門(mén)檻方面也存在太多先天的不足,其性能與穩(wěn)定性更是與商業(yè)軟件相差甚遠(yuǎn)。
面對(duì)綜上同類產(chǎn)品,困惑于Web掃描場(chǎng)景需求種種局限的我們,很欣喜地看到了近幾年聲名鵲起的Web掃描器產(chǎn)品。它作為一款自動(dòng)化評(píng)估類工具,依據(jù)制定的策略對(duì)Web應(yīng)用系統(tǒng)進(jìn)行URL深度發(fā)現(xiàn)并全面掃描,尋找出Web應(yīng)用真實(shí)存在的安全漏洞,如跨站點(diǎn)腳本、SQL注入,命令執(zhí)行、目錄遍歷和不安全的服務(wù)器配置。Web掃描器產(chǎn)品可以通過(guò)主動(dòng)生成統(tǒng)計(jì)分析報(bào)告來(lái)幫助我們正確了解Web應(yīng)用漏洞的詳細(xì)分布、數(shù)量和風(fēng)險(xiǎn)優(yōu)先級(jí),并對(duì)發(fā)現(xiàn)的安全漏洞提出相應(yīng)有力的改進(jìn)意見(jiàn)供后續(xù)修補(bǔ)參考,是幫助我們高效徹底地進(jìn)行Web脆弱性評(píng)估檢查的堅(jiān)實(shí)利器。
Web掃描器的三個(gè)誤區(qū)
針對(duì)現(xiàn)有市面上諸多品牌的Web掃描器,大家在評(píng)價(jià)它們孰優(yōu)孰劣時(shí)時(shí)常過(guò)于片面極端,主要表現(xiàn)為三個(gè)認(rèn)識(shí)誤區(qū)。
誤區(qū)1:多就是好!
認(rèn)為漏洞庫(kù)條目多,檢查出來(lái)的漏洞多就是好。Web掃描器面對(duì)龐大繁多、千差萬(wàn)別的應(yīng)用系統(tǒng),為提升檢測(cè)性能,多采用高效率的Web通用插件,以一掃多,其不再局限于某個(gè)專門(mén)應(yīng)用系統(tǒng),深層次聚合歸并,盡可能多地發(fā)現(xiàn)多種應(yīng)用系統(tǒng)的同類漏洞。同時(shí),對(duì)于掃描出來(lái)的非誤報(bào)漏洞,若同屬某一頁(yè)面不同參數(shù)所致的相同漏洞,歸納整理,讓最終呈現(xiàn)的漏洞報(bào)表簡(jiǎn)約而不簡(jiǎn)單,避免數(shù)量冗余、雜亂無(wú)章。故若以毫無(wú)插件歸并能力,僅靠大量專門(mén)Web系統(tǒng)插件、羅列各類漏洞列表數(shù)量多來(lái)博取贊許的Web掃描器,其本質(zhì)存在太多的不專業(yè)性。
誤區(qū)2:快就是好!
認(rèn)為掃描速度快耗時(shí)短的就是好。網(wǎng)站規(guī)模日趨復(fù)雜,日常檢查時(shí)我們期待Web掃描器能有更高效率地完成掃描任務(wù),這點(diǎn)無(wú)可厚非,但檢查的本質(zhì)是要最大限度地提前發(fā)現(xiàn)足夠多的漏洞,并第一時(shí)間制定后續(xù)相應(yīng)的修補(bǔ)計(jì)劃。故在面對(duì)同一目標(biāo)站點(diǎn)時(shí),Web掃描器若能在單位時(shí)間內(nèi)檢測(cè)出來(lái)的有效存在漏洞數(shù)越多,這個(gè)快才是真的好。
誤區(qū)3:小就是好!
認(rèn)為掃描過(guò)程中對(duì)目標(biāo)業(yè)務(wù)影響小就是好!這句話本身也沒(méi)有問(wèn)題,只要Web掃描器在執(zhí)行掃描過(guò)程中,對(duì)目標(biāo)系統(tǒng)負(fù)載響應(yīng)和網(wǎng)絡(luò)鏈路帶寬占用,影響足夠小,也就是我們常說(shuō)的“無(wú)損掃描”,它就具備了一款優(yōu)秀Web掃描器應(yīng)有的先決條件。但是,這必須是在能最大限度發(fā)現(xiàn)Web漏洞的前提下才能考慮的關(guān)鍵因素,脫離這個(gè)產(chǎn)品本質(zhì),就本末倒置了。
五個(gè)基本評(píng)優(yōu)標(biāo)準(zhǔn)
那么,評(píng)優(yōu)一款Web掃描器,我們?cè)搹暮翁幹郑烤唧w的判斷標(biāo)準(zhǔn)有哪些呢?
全——識(shí)別種類繁多的Web應(yīng)用,集成最全的Web通用插件,通過(guò)全面識(shí)別網(wǎng)站結(jié)構(gòu)和內(nèi)容,逐一判斷每一種漏洞可能性,換句話說(shuō),漏洞掃描的檢測(cè)率一定要高,漏報(bào)率務(wù)必低,最終才能輸出全面詳盡的掃描報(bào)告。這就要求其在Web應(yīng)用識(shí)別方面,支持各類Web語(yǔ)言類型(php、asp、.net、html)、應(yīng)用系統(tǒng)類型(門(mén)戶網(wǎng)站、電子政務(wù)、論壇、博客、網(wǎng)上銀行)、應(yīng)用程序類型(IIS、Apache、Tomcat)、第三方組件類型(Struts2、WebLogic、WordPress)等;插件集成方面,支持國(guó)際標(biāo)準(zhǔn)漏洞分類OWASPTOP10和WASC插件分類模板,允許自定義掃描插件模板,第一時(shí)間插件更新速度等。
準(zhǔn)——較高的漏洞準(zhǔn)確性是Web掃描器權(quán)威的象征,可視化分析可助用戶準(zhǔn)確定位漏洞、分析漏洞。而誤報(bào)是掃描類產(chǎn)品不能回避的話題。Web掃描器通過(guò)通用插件與目標(biāo)站點(diǎn)任一URL頁(yè)面進(jìn)行邏輯交互,通過(guò)可視化的漏洞跟蹤技術(shù),精準(zhǔn)判斷和定位漏洞,并提供易讀易懂的詳細(xì)整改分析報(bào)告。除此之外,一款好的Web掃描器還要更具人性化,在漏洞發(fā)現(xiàn)后,允許掃描者進(jìn)行手工、自動(dòng)的漏洞批量驗(yàn)證,進(jìn)而雙重保障較高的準(zhǔn)確性結(jié)果。
快——快速的掃描速度,才能在面對(duì)越來(lái)越大的網(wǎng)站規(guī)模,越發(fā)頻繁的網(wǎng)站檢查時(shí)游刃有余,進(jìn)度保障。一款快速的Web掃描器除了有強(qiáng)勁馬力的掃描引擎,高達(dá)百萬(wàn)/天的掃描速度,還要具備彈性靈活的集群掃描能力,任意增添掃描節(jié)點(diǎn),輕松應(yīng)對(duì)可能苛刻的掃描周期時(shí)間要求。
穩(wěn)——穩(wěn)定可靠的運(yùn)行過(guò)程,對(duì)目標(biāo)環(huán)境近乎零影響的Web掃描器,才能在諸行業(yè)大面積投入使用,特別是一些對(duì)業(yè)務(wù)影響要求苛刻的行業(yè)會(huì)更受青睞,畢竟沒(méi)有人能夠接受一款評(píng)估類產(chǎn)品,會(huì)對(duì)目標(biāo)造成額外的損傷。市面上現(xiàn)在已有一些Web掃描器產(chǎn)品,其通過(guò)周期探尋目標(biāo)系統(tǒng),網(wǎng)絡(luò)鏈路,自身性能負(fù)載等機(jī)制,依據(jù)目標(biāo)環(huán)境的負(fù)載動(dòng)態(tài)變化而自動(dòng)調(diào)節(jié)掃描參數(shù),從而保障掃描過(guò)程的足夠穩(wěn)定和幾乎零影響。此外,隨著網(wǎng)站規(guī)模,檢查范圍的不斷擴(kuò)大,保證持續(xù)穩(wěn)定的掃描執(zhí)行和統(tǒng)計(jì)評(píng)估,盡量避免掃描進(jìn)度的半途而廢,也提出了較高的可靠性運(yùn)行要求。
易——人性化的界面配置,低成本的報(bào)表學(xué)習(xí)和強(qiáng)指導(dǎo)性修補(bǔ)建議。尤其是漏洞分布詳情和場(chǎng)景重現(xiàn)方面,市面上大多數(shù)Web掃描器的報(bào)表都需要專業(yè)安全人員的二次解讀后,普通的安全運(yùn)維檢查人員才能看懂,才知道長(zhǎng)達(dá)百頁(yè)報(bào)表給出的重要建議和下一步的具體修補(bǔ)措施,這無(wú)疑給使用者造成了較高的技術(shù)門(mén)檻,那么如何解決此易讀、易用問(wèn)題,就成為評(píng)定其優(yōu)劣與否的一個(gè)重要指標(biāo)。
總之,一款優(yōu)秀的Web掃描器產(chǎn)品,它需要嚴(yán)格恪守五字核心方針,全、準(zhǔn)、快、穩(wěn)、易,做到全方位均衡,這樣才能做到基本優(yōu)秀。同時(shí),隨著網(wǎng)站檢查訴求的日益多元化,它若能附帶一些差異化特性,滿足大家不同場(chǎng)景的網(wǎng)站安全運(yùn)維掃描要求,如網(wǎng)站基本信息搜集,漏洞全過(guò)程時(shí)間軸跟蹤,逐步可視化的漏洞驗(yàn)證和場(chǎng)景重現(xiàn),自動(dòng)修補(bǔ)直通車等,定會(huì)大大增加該款掃描器的評(píng)優(yōu)力度。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://m.hanmeixuan.com/
本文標(biāo)題:如何選擇一款好的Web掃描產(chǎn)品
本文網(wǎng)址:http://m.hanmeixuan.com/html/support/11121516272.html
相關(guān)文章
