3.1.3 漏洞场景可视化重现

　　针对需要误报验证的漏洞清单，多数情况下，由于评估人员自身Web渗透测试技能的局限及手工验证大量漏洞的效率低下，让漏洞验证成为评估者极为头疼、望而生畏的一项工作。

　　因此，融合网站安全运维理念的Web漏洞扫描产品，若能够大大降低漏洞验证时对评估者的高门槛技能要求，针对批量待验证的各种Web漏洞类型，提供傻瓜式一键菜单，直接实现自动验证，免除现有的繁琐和人工之苦。同时，验证过程通过可视化方式进行呈现，让评估者清晰地知晓之前扫描时判断该漏洞存在的标准依据是什么，交互执行时都构造了哪些URL链接和数据参数，实际响应和判断依据的预期结果对比是何结果，甚至整个漏洞的确认过程中，与目标站点所进行的所有请求/响应的原始报文、页面源码都能有对应的说明文件，最后高亮显示存在漏洞的位置，让其一一尽显眼底。而对于验证失败的漏洞，给出具体失败的原因，如站点不可达、参数不全，或用户站点发生变化等情况。

　　此外，为了尽可能避免网站整改方对于漏洞是否存在的质疑，Web漏洞扫描产品还需提供离线的漏洞场景文件，它采取加密封装的方式，把如上描述的全过程内容细数打包，来方便检查双方彼此进行场景重现、权威取证，并为下一步的一体化漏洞修补提供先决条件。

 

　　3.1.4 漏洞跟踪，聚焦风险态势分布

　　没有绝对的安全，网站风险态势也并非一成不变，这就要求融合网站安全运维理念的Web漏洞扫描产品能在评估者指定的任意时间周期内，从运维管理的视角，快速根据网站资产、网络环境、新爆漏洞、修补力度、整体态势等关心程度，相应呈现出以漏洞变化的核心风险态势图，紧随网站评估的现实节奏，因地制宜，进行相应跟踪分析和第一时间风险呈现。

 

　　3.2大道至简的跨越

　　3.2.1低门槛学习使用

　　Web漏洞扫描产品在保障专业性扫描的同时，需要具备傻瓜式的扫描配置，除继承原有快速扫描、全局扫描、自定义扫描的模板外，还要能立足于某类新曝出的漏洞进行快速遍历匹配;报表展示方面，能够提供风险仪表盘，来集中展示信息概要，并通过进一步展示明细结果的快捷入口，快速查看所见即所得的图文报表，最终通过全方位详尽的漏洞详情。让评估者无需太多的Web安全知识积淀，无需专业人士的二次解读，就能快速上手，简便操作，做到对网站风险的准确把握，主次分明。

 

[1] [2] [3]