Skip to content

Web安全扫描

安全扫描:针对Web应用脆弱性识别的一种行为。

为什么需要做Web安全扫描?

  • 手工安全测试所需时间周期较长,不能满足快速交付的需求;
  • 弥补安全测试人员知识技能层面不足;
  • 避免安全测试过程中的由于测试人员惰性造成的遗漏;

目前Web扫描器能做到什么?

  • 基于OWASP Top 10的常规漏洞检测;
  • 基于特定的漏洞检测,如:struts2

目前Web扫描器的缺点是什么?

  • 误报严重,也存在一定程度的漏报,主要是由于扫描规则导致;
  • 不能完美支持业务逻辑漏洞的探测;
  • 对系统造成脏数据、服务不可用等安全风险;

如何改进Web扫描器的缺点?

  • 针对扫描规则:完善常规漏洞检测规则+业务逻辑漏洞模式(这是一个体力活);
  • 针对扫描误报率:发现漏洞进行二次验证,如:awvs+sqlmap验证sql注入漏洞;
  • 针对造成脏数据:使用扫描器时,过滤POST提交参数请求;
  • 针对造成服务不可用:合理选择扫描策略,避开业务高峰期扫描;

Web扫描器的分类

根据扫描行为分类

  • 主动扫描:通过爬虫获取URL信息;
  • 半被动扫描:通过日志获取URL信息;通过流量获取URL信息;通过代理获取URL信息;
  • 全被动扫描:

根据扫描方式分类

  • 自动扫描:定期执行扫描可以选择全量策略,扫描时间较长需要避开业务高峰期;
  • 手动扫描:手工执行扫描,选择针对性的扫描策略;

企业是否需要自研Web扫描器?

综合答案是:不要

为什么很多企业觉得需要自研

商用扫描器都是通用型的,不同企业在部署方式、后续服务等方面存在兼容性问题。

为什么不要轻易自研Web扫描器

Web扫描器自研成本太大,难点更多在于:规则的维护等。

利用免费或破解的扫描器API

为了解决企业系统多业务繁杂的Web扫描,更多我们利用API做成分布式队列的形式来做成一个扫描器。

参考资料

中通分布式被动安全扫描实践