擁有著自動檢測本地或者遠(yuǎn)程主機(jī)安全弱點的程序被稱為掃描器,它能購非??焖俨⑶覝?zhǔn)備的發(fā)現(xiàn)掃描目標(biāo)中的漏洞并提供給掃描者。
1、什么是Web掃描器
Web 掃描器可以自動地檢查Web 應(yīng)用程序的安全弱點和風(fēng)險,它主要通過探測和分析Web應(yīng)用的響應(yīng),從而發(fā)現(xiàn)其中潛在的安全問題和架構(gòu)缺陷。
掃描器的兩個特點:
● 自動檢查Web應(yīng)用程序的安全弱點和風(fēng)險
● 主要通過探測和分析Web應(yīng)用的響應(yīng)來發(fā)現(xiàn)安全問題和架構(gòu)缺陷
這兩個特點告訴我們,Web掃描器其實是一種自動化的安全弱點和風(fēng)險檢測;它的工作方式和原理主要是通過分析HTTP(s)請求和響應(yīng)來發(fā)現(xiàn)安全問題和風(fēng)險。
通常情況下,掃描器的使用人群可以分為兩類,一類是產(chǎn)品測試人員,另一類則是安全測試人員。但是他們對掃描器的功能需求和結(jié)果訴求卻是完全不一樣的,因此我們有必要了解一下這兩種不同的使用人群。
(1)從產(chǎn)品測試人員角度看
掃描器主要是用來對Web應(yīng)用程序進(jìn)行掃描檢測,根據(jù)Web漏洞的常見簽名特征,對Web應(yīng)用進(jìn)行全面的安全檢測,提前發(fā)現(xiàn)可能存在的漏洞,做到事前發(fā)現(xiàn)和修復(fù)。掃描器作為黑盒自動化測試工具,可以幫助我們在QA環(huán)節(jié)快速發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)的安全缺陷并修復(fù),在產(chǎn)品快速迭代的同時,保證業(yè)務(wù)上線前的安全。
(2)從安全測試人員角度看
在對一個目標(biāo)進(jìn)行滲透測試時,首先需要進(jìn)行信息收集,然后再對這些信息進(jìn)行漏洞審計。其中,信息收集的目的是最大化地收集與目標(biāo)有關(guān)聯(lián)的信息,提供盡可能多的攻擊入口;漏洞審計則是對這些可能的攻擊入口進(jìn)行安全分析和檢測,來驗證這些攻擊入口是否可以被利用。由于這兩個環(huán)節(jié)的工作更多是具有發(fā)散性的,因此人工的工作量就會非常大。這個時候就我們需要用到Web掃描器,其實它的目的就是盡可能地幫助我們自動完成這兩個環(huán)節(jié),方便安全測試人員快速獲取目標(biāo)可供利用的漏洞以便進(jìn)行后續(xù)滲透工作。
2、掃描器的重要性
掃描器的重要性分為三方面。
(1)業(yè)務(wù)上線前的安全保障
隨著企業(yè)的發(fā)展和壯大,公司內(nèi)部的業(yè)務(wù)線也會隨之變多,而單純依靠人工檢測肯定沒有辦法完全覆蓋到,因此我們需要引入安全掃描能力,它能夠為業(yè)務(wù)在上線發(fā)布前進(jìn)行自動化掃描和檢測,從而可以把煩瑣的安全檢測工作通過掃描器自動完成,這樣不僅可以減少人工的工作量,同時還可以極大地縮減檢測時間,保障業(yè)務(wù)順利發(fā)布和上線。
(2)業(yè)務(wù)運行中的安全監(jiān)控
安全其實是一個動態(tài)的過程,因此對業(yè)務(wù)持續(xù)地安全監(jiān)控也是必不可少的,我們可以通過掃描器對業(yè)務(wù)運行中的日志或流量進(jìn)行動態(tài)實時的掃描分析及監(jiān)控,還可以與企業(yè)內(nèi)部的防火墻或WAF進(jìn)行協(xié)同聯(lián)動,從而可以達(dá)到事中的安全阻斷,保障業(yè)務(wù)運行中的安全。
(3)業(yè)務(wù)運行中的安全預(yù)警
在互聯(lián)網(wǎng)中避免不了有很多的漏洞被研究員爆出,我們就可以通過掃描器對在公網(wǎng)上的資產(chǎn)進(jìn)行探測識別和漏洞驗證。這樣就可以快速的解決問題,避免漏洞所帶來的安全風(fēng)險。