关于网站漏洞扫描器的使用步骤,大家基本上都是按照以下方法去使用:输入网站地址->启动网站漏洞扫描引擎->检测漏洞的风险程度->输出网站安全报告,是否能得到这样的理论依据:同一款漏洞扫描工具,扫描出来的结果应该一样?但是,实际上,现实中是否常出现:对于同一款扫描器,A说实际效果非常不错,发现了真实可利用的SQL注入漏洞,B却说特别差,全是一些无足轻重的低危漏洞。
甚至可能还有这样的两方面差距比较大的体验:
看其他人用的时候:这个符合,那个达到效果……基本上关注的需求都满足实际现场用这个漏洞扫描器自己操作时:这个不满足,那个不匹配……好像不符合效果需求.难道说买了个“别人家的孩子”?无法达到与自己想要的效果吗!在解释以上这些问题之前,先讨论一下大家挑选一款网站漏洞扫描器时的考虑各种因素.
1.只用于内网的主机安全扫描,对于内网的漏洞发掘.
2.只对外网的网站做好扫描,检测网站漏洞并利用.
3.网站需要登录,且认证时需要填写验证码、企业名称等验证信息,用扫描器检测是否存在绕过漏洞.
4.公司为了检测所有系统主机的安全性,可能有几百个C段IP,能否批量快速检测,提高扫描效率.
5.针对忽然间爆发的网站安全高危漏洞,需要快速对所有网站网站安全做好全面检查.
6.对于存在风险的安全问题,需要快速找到发生漏洞的原因,并可以对网站安全的归属或负责人做好溯源分析落实.
7.需要知道所有检测出来的网站漏洞的修复状态,并可以对其进行是否已经修复的快速验证.
8.有自己的网站安全测试服务管理平台,想将其作为漏洞扫描工具使用,直接合为一体使用.
9.有自己的漏洞服务管理平台,想将漏洞扫描工具的输出作为漏洞服务管理平台的输入源,合为一体.
随便举例,就有那么多各不相同的需求,论其实际使用时,各公司的网络环境、网站安全测评登记以及管理权限模式等客观因素更是相差很大,同时,执行操作技术人员水平也并不一致,从而导致同一个扫描器,在用对的情况下,扫描实际效果可以一鸣惊人,但是用错的时候,效果却往往达不到渴望值。不一样环境下,网站漏洞扫描器的使用实用技巧.评估安全系数,仅仅为了检测网站安全是否存在风险。
环境一:主动检测安全漏洞并做好风险检测.该环境主要用于只想对网站安全做好风险识别的公司,通常用于网站安全的日常监测、定期安全检查、首发漏洞的应急检测等,在有助于保障企业安全网站安全的同时,还可以降低管控检查风险,提升对应急漏洞做好排查的效率。
这里从内网和外网两个不一样的环境,分别将公司网站安全作为输入源,输入源可以是IP、域名、服务或网址,不一样输入源最终都经过扫描引擎一系列全自动处理,检测出系统漏洞和Web通用漏洞。
环境二:借助人工爬取url被动模式检测网站安全,从而做好网站安全风险检测,该环境更多的主要用于软件开发中心的安全检测功能,这些需求公司的共同特点是有专门做好软件功能测试的技术人员。实时借助这些功能测试技术人员的检测测试数据,以人工爬取代替机器爬取,既可以弥补机器爬取可能爬取链接不全的缺点,又可以大大节省公司人工成本、降低公司风险成本预算。这里的关键环节在于如何实时获取到测试人员的检测测试数据并对其进行解密,需要视公司环境而定,一般采用在客户端配置代理的模式、在服务器端配置代理的模式或VPN模式等。测试数据获取后,输入进扫描引擎,经过一系列自动识别检测,可以检测出存在的Web通用漏洞或简单的逻辑漏洞。
环境三:借助其他方式被动检测网站安全,从而做好风险检测.该环境的公司特点是网站安全检测工作量庞大,网站安全建设部门摸清公司网站安全比较困难。通过实时镜像交换机等设备上的测试数据,来对掌握的公司网站安全信息做好查漏补缺。如果涉及到无法检测的HTTPS加密测试数据,集成日志分析服务,可对Nginx/Apache等服务器产生的日志做好分析,全自动发现扫描漏洞。这里的关键环节在测试数据或日志文件的解析上,需要匹配的解析规则来保证镜像测试数据或日志被扫描引擎可检测,然后做好一系列的风险识别操作,与上述一致,作为服务管理平台,依据安全评估能力对输入或输出的资源做好管理。
环境四:网站安全分析与闭环管理,统一网站安全风险检测输入源这种环境主要主要用于有一定规模网站安全、但同时网站安全建设部门又没有网站安全服务管理平台的公司。这类网站安全服务管理平台一般都可以与安全评估工具做好对接,从而使得静态网站安全动态化,保证安全检测时网站安全的有效性,同时还方便对公司网站安全的变更做好实时监控。
网站漏洞扫描器主要为企业安全建设管理者解决如下问题:
明确公司有哪些网站安全、网站安全各种指纹信息以及网站安全之间的关联关系,便于检测风险关联追踪网站安全所属部门以及负责人,便于解决风险问题定位关注的网站安全类别,便于应急漏洞的及时检测响应。
对接公司已有的其他扫描工具,便于公司网站安全集中统一管理,网站安全服务管理平台的输入源可以是与CMDB的对接、与各种开源扫描工具的对接、与各种商业扫描产品的对接等,为企业安全建设管理者提供一个统一可视化的网站安全服务管理平台。
环境五:漏洞状态闭环管理,跟踪漏洞生命周期情况,这种环境主要用于公司业务十分复杂,但是没有漏洞服务管理平台的公司。网站漏洞扫描器主要为企业安全建设管理者解决的问题是:
1.查看漏洞的修复状态,对生命周期轨迹的追踪,复测漏洞,对已修复漏洞的验证与验收。
2.理想的漏洞服务管理平台,应该可以与各种开源或商业化的漏扫产品做好对接,统一管理公司存在的所有漏洞。
3.超大资产规模下,高性能扫描器成为首选。
大量网站安全无法快速扫描完成的问题-扫描引擎分布式部署。此种环境主要是为了提升扫描效率而设定,一般用于网站安全量比较大、且需要短时间内完成扫描的公司。按网站安全量评估,在不一样的网络区域分别部署一个或多个引擎扫描节点,满足在扫描大量网站安全时可以以线性的扫描效率做好提升。
需多级管理的繁杂业务模式-级联部署
此种环境主要主要用于有子公司的公司。为了做好权限管理,总部和分部、分部与分部之间需要级联或独立管理,所以在这种环境下,必须采用级联部署模式.扫描引擎分布式与级联部署拓扑图如下图所示:SINESAFE网站安全评估系统,经过长期打磨优化,已逐渐成长为一款主要用于以上公司不一样环境的安全评估产品,基于不一样环境的实例环境中持续优化迭代,并根据网站漏洞扫描器本身具备的特点,寻求更多与其他安全产品或工具对接机会,为广大支持者提供更多的公司环境解决方案。
