摘要:互联网业务日新月异,以Web为主要业务载体的网站自身安全问题也被提升至前所未有的高度。Web应用漏洞扫描产品作为网站安全风险评估的首选工具,在日益突出的Web合规政策和业务安全驱动下,被赋予了更多创新使命。如何轻松应对网站安全运维评估的难题,并跨越其在学习使用上的高门槛局限,这一切都呼唤着Web漏洞扫描产品能够尽快融合当前网站安全运维理念。 |
3.1.3 漏洞场景可视化重现
针对需要误报验证的漏洞清单,多数情况下,由于评估人员自身Web渗透测试技能的局限及手工验证大量漏洞的效率低下,让漏洞验证成为评估者极为头疼、望而生畏的一项工作。
因此,融合网站安全运维理念的Web漏洞扫描产品,若能够大大降低漏洞验证时对评估者的高门槛技能要求,针对批量待验证的各种Web漏洞类型,提供傻瓜式一键菜单,直接实现自动验证,免除现有的繁琐和人工之苦。同时,验证过程通过可视化方式进行呈现,让评估者清晰地知晓之前扫描时判断该漏洞存在的标准依据是什么,交互执行时都构造了哪些URL链接和数据参数,实际响应和判断依据的预期结果对比是何结果,甚至整个漏洞的确认过程中,与目标站点所进行的所有请求/响应的原始报文、页面源码都能有对应的说明文件,最后高亮显示存在漏洞的位置,让其一一尽显眼底。而对于验证失败的漏洞,给出具体失败的原因,如站点不可达、参数不全,或用户站点发生变化等情况。
此外,为了尽可能避免网站整改方对于漏洞是否存在的质疑,Web漏洞扫描产品还需提供离线的漏洞场景文件,它采取加密封装的方式,把如上描述的全过程内容细数打包,来方便检查双方彼此进行场景重现、权威取证,并为下一步的一体化漏洞修补提供先决条件。
3.1.4 漏洞跟踪,聚焦风险态势分布
没有绝对的安全,网站风险态势也并非一成不变,这就要求融合网站安全运维理念的Web漏洞扫描产品能在评估者指定的任意时间周期内,从运维管理的视角,快速根据网站资产、网络环境、新爆漏洞、修补力度、整体态势等关心程度,相应呈现出以漏洞变化的核心风险态势图,紧随网站评估的现实节奏,因地制宜,进行相应跟踪分析和第一时间风险呈现。
3.2大道至简的跨越
3.2.1低门槛学习使用
Web漏洞扫描产品在保障专业性扫描的同时,需要具备傻瓜式的扫描配置,除继承原有快速扫描、全局扫描、自定义扫描的模板外,还要能立足于某类新曝出的漏洞进行快速遍历匹配;报表展示方面,能够提供风险仪表盘,来集中展示信息概要,并通过进一步展示明细结果的快捷入口,快速查看所见即所得的图文报表,最终通过全方位详尽的漏洞详情。让评估者无需太多的Web安全知识积淀,无需专业人士的二次解读,就能快速上手,简便操作,做到对网站风险的准确把握,主次分明。