擁有著自動檢測本地或者遠(yuǎn)程主機(jī)安全弱點的程序被稱為掃描器��,它能購非?���?焖俨⑶覝?zhǔn)備的發(fā)現(xiàn)掃描目標(biāo)中的漏洞并提供給掃描者���。
1�、什么是Web掃描器
Web 掃描器可以自動地檢查Web 應(yīng)用程序的安全弱點和風(fēng)險����,它主要通過探測和分析Web應(yīng)用的響應(yīng),從而發(fā)現(xiàn)其中潛在的安全問題和架構(gòu)缺陷。
掃描器的兩個特點:
● 自動檢查Web應(yīng)用程序的安全弱點和風(fēng)險
● 主要通過探測和分析Web應(yīng)用的響應(yīng)來發(fā)現(xiàn)安全問題和架構(gòu)缺陷
這兩個特點告訴我們���,Web掃描器其實是一種自動化的安全弱點和風(fēng)險檢測����;它的工作方式和原理主要是通過分析HTTP(s)請求和響應(yīng)來發(fā)現(xiàn)安全問題和風(fēng)險�����。
通常情況下�,掃描器的使用人群可以分為兩類����,一類是產(chǎn)品測試人員,另一類則是安全測試人員����。但是他們對掃描器的功能需求和結(jié)果訴求卻是完全不一樣的,因此我們有必要了解一下這兩種不同的使用人群�����。
(1)從產(chǎn)品測試人員角度看
掃描器主要是用來對Web應(yīng)用程序進(jìn)行掃描檢測���,根據(jù)Web漏洞的常見簽名特征�����,對Web應(yīng)用進(jìn)行全面的安全檢測�����,提前發(fā)現(xiàn)可能存在的漏洞����,做到事前發(fā)現(xiàn)和修復(fù)。掃描器作為黑盒自動化測試工具��,可以幫助我們在QA環(huán)節(jié)快速發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)的安全缺陷并修復(fù)���,在產(chǎn)品快速迭代的同時����,保證業(yè)務(wù)上線前的安全����。
(2)從安全測試人員角度看
在對一個目標(biāo)進(jìn)行滲透測試時,首先需要進(jìn)行信息收集��,然后再對這些信息進(jìn)行漏洞審計。其中�����,信息收集的目的是最大化地收集與目標(biāo)有關(guān)聯(lián)的信息�,提供盡可能多的攻擊入口;漏洞審計則是對這些可能的攻擊入口進(jìn)行安全分析和檢測����,來驗證這些攻擊入口是否可以被利用。由于這兩個環(huán)節(jié)的工作更多是具有發(fā)散性的�����,因此人工的工作量就會非常大��。這個時候就我們需要用到Web掃描器���,其實它的目的就是盡可能地幫助我們自動完成這兩個環(huán)節(jié),方便安全測試人員快速獲取目標(biāo)可供利用的漏洞以便進(jìn)行后續(xù)滲透工作�。
2、掃描器的重要性
掃描器的重要性分為三方面�����。
(1)業(yè)務(wù)上線前的安全保障
隨著企業(yè)的發(fā)展和壯大,公司內(nèi)部的業(yè)務(wù)線也會隨之變多���,而單純依靠人工檢測肯定沒有辦法完全覆蓋到����,因此我們需要引入安全掃描能力�,它能夠為業(yè)務(wù)在上線發(fā)布前進(jìn)行自動化掃描和檢測,從而可以把煩瑣的安全檢測工作通過掃描器自動完成��,這樣不僅可以減少人工的工作量�,同時還可以極大地縮減檢測時間,保障業(yè)務(wù)順利發(fā)布和上線��。
(2)業(yè)務(wù)運行中的安全監(jiān)控
安全其實是一個動態(tài)的過程���,因此對業(yè)務(wù)持續(xù)地安全監(jiān)控也是必不可少的�,我們可以通過掃描器對業(yè)務(wù)運行中的日志或流量進(jìn)行動態(tài)實時的掃描分析及監(jiān)控���,還可以與企業(yè)內(nèi)部的防火墻或WAF進(jìn)行協(xié)同聯(lián)動�����,從而可以達(dá)到事中的安全阻斷��,保障業(yè)務(wù)運行中的安全����。
(3)業(yè)務(wù)運行中的安全預(yù)警
在互聯(lián)網(wǎng)中避免不了有很多的漏洞被研究員爆出,我們就可以通過掃描器對在公網(wǎng)上的資產(chǎn)進(jìn)行探測識別和漏洞驗證�。這樣就可以快速的解決問題,避免漏洞所帶來的安全風(fēng)險�。