擁有著自動(dòng)檢測(cè)本地或者遠(yuǎn)程主機(jī)安全弱點(diǎn)的程序被稱為掃描器�����,它能購(gòu)非?���?焖俨⑶覝?zhǔn)備的發(fā)現(xiàn)掃描目標(biāo)中的漏洞并提供給掃描者�。
1、什么是Web掃描器
Web 掃描器可以自動(dòng)地檢查Web 應(yīng)用程序的安全弱點(diǎn)和風(fēng)險(xiǎn)���,它主要通過(guò)探測(cè)和分析Web應(yīng)用的響應(yīng)��,從而發(fā)現(xiàn)其中潛在的安全問(wèn)題和架構(gòu)缺陷���。
掃描器的兩個(gè)特點(diǎn):
● 自動(dòng)檢查Web應(yīng)用程序的安全弱點(diǎn)和風(fēng)險(xiǎn)
● 主要通過(guò)探測(cè)和分析Web應(yīng)用的響應(yīng)來(lái)發(fā)現(xiàn)安全問(wèn)題和架構(gòu)缺陷
這兩個(gè)特點(diǎn)告訴我們,Web掃描器其實(shí)是一種自動(dòng)化的安全弱點(diǎn)和風(fēng)險(xiǎn)檢測(cè)����;它的工作方式和原理主要是通過(guò)分析HTTP(s)請(qǐng)求和響應(yīng)來(lái)發(fā)現(xiàn)安全問(wèn)題和風(fēng)險(xiǎn)��。
通常情況下�����,掃描器的使用人群可以分為兩類�,一類是產(chǎn)品測(cè)試人員���,另一類則是安全測(cè)試人員。但是他們對(duì)掃描器的功能需求和結(jié)果訴求卻是完全不一樣的�,因此我們有必要了解一下這兩種不同的使用人群。
(1)從產(chǎn)品測(cè)試人員角度看
掃描器主要是用來(lái)對(duì)Web應(yīng)用程序進(jìn)行掃描檢測(cè)���,根據(jù)Web漏洞的常見(jiàn)簽名特征���,對(duì)Web應(yīng)用進(jìn)行全面的安全檢測(cè),提前發(fā)現(xiàn)可能存在的漏洞��,做到事前發(fā)現(xiàn)和修復(fù)���。掃描器作為黑盒自動(dòng)化測(cè)試工具����,可以幫助我們?cè)赒A環(huán)節(jié)快速發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)的安全缺陷并修復(fù),在產(chǎn)品快速迭代的同時(shí)�����,保證業(yè)務(wù)上線前的安全�。
(2)從安全測(cè)試人員角度看
在對(duì)一個(gè)目標(biāo)進(jìn)行滲透測(cè)試時(shí),首先需要進(jìn)行信息收集���,然后再對(duì)這些信息進(jìn)行漏洞審計(jì)�����。其中�,信息收集的目的是最大化地收集與目標(biāo)有關(guān)聯(lián)的信息����,提供盡可能多的攻擊入口;漏洞審計(jì)則是對(duì)這些可能的攻擊入口進(jìn)行安全分析和檢測(cè)�����,來(lái)驗(yàn)證這些攻擊入口是否可以被利用。由于這兩個(gè)環(huán)節(jié)的工作更多是具有發(fā)散性的�����,因此人工的工作量就會(huì)非常大�。這個(gè)時(shí)候就我們需要用到Web掃描器,其實(shí)它的目的就是盡可能地幫助我們自動(dòng)完成這兩個(gè)環(huán)節(jié)�����,方便安全測(cè)試人員快速獲取目標(biāo)可供利用的漏洞以便進(jìn)行后續(xù)滲透工作�����。
2�、掃描器的重要性
掃描器的重要性分為三方面����。
(1)業(yè)務(wù)上線前的安全保障
隨著企業(yè)的發(fā)展和壯大,公司內(nèi)部的業(yè)務(wù)線也會(huì)隨之變多��,而單純依靠人工檢測(cè)肯定沒(méi)有辦法完全覆蓋到��,因此我們需要引入安全掃描能力��,它能夠?yàn)闃I(yè)務(wù)在上線發(fā)布前進(jìn)行自動(dòng)化掃描和檢測(cè),從而可以把煩瑣的安全檢測(cè)工作通過(guò)掃描器自動(dòng)完成�����,這樣不僅可以減少人工的工作量�,同時(shí)還可以極大地縮減檢測(cè)時(shí)間,保障業(yè)務(wù)順利發(fā)布和上線����。
(2)業(yè)務(wù)運(yùn)行中的安全監(jiān)控
安全其實(shí)是一個(gè)動(dòng)態(tài)的過(guò)程,因此對(duì)業(yè)務(wù)持續(xù)地安全監(jiān)控也是必不可少的�,我們可以通過(guò)掃描器對(duì)業(yè)務(wù)運(yùn)行中的日志或流量進(jìn)行動(dòng)態(tài)實(shí)時(shí)的掃描分析及監(jiān)控,還可以與企業(yè)內(nèi)部的防火墻或WAF進(jìn)行協(xié)同聯(lián)動(dòng)��,從而可以達(dá)到事中的安全阻斷��,保障業(yè)務(wù)運(yùn)行中的安全���。
(3)業(yè)務(wù)運(yùn)行中的安全預(yù)警
在互聯(lián)網(wǎng)中避免不了有很多的漏洞被研究員爆出���,我們就可以通過(guò)掃描器對(duì)在公網(wǎng)上的資產(chǎn)進(jìn)行探測(cè)識(shí)別和漏洞驗(yàn)證。這樣就可以快速的解決問(wèn)題���,避免漏洞所帶來(lái)的安全風(fēng)險(xiǎn)��。