關于網站漏洞掃描器的使用步驟,大家基本上都是按照以下方法去使用:輸入網站位址->啟動網站漏洞掃描引擎->檢測漏洞的風險程度->輸出網站安全報告,是否能得到這樣的理論依據:同一款漏洞掃描工具,掃描出來的結果應該一樣?但是,實際上,現實中是否常出現:對于同一款掃描器,A說實際效果非常不錯,發現了真實可利用的SQL注入漏洞,B卻說特别差,全是一些無足輕重的低危漏洞。
甚至可能還有這樣的兩方面差距比較大的體驗:
看其他人用的時候:這個符合,那個達到效果……基本上關注的需求都滿足實際現場用這個漏洞掃描器自己操作時:這個不滿足,那個不比對……好像不符合效果需求.難道說買了個“别人家的孩子”?無法達到與自己想要的效果嗎!在解釋以上這些問題之前,先讨論一下大家挑選一款網站漏洞掃描器時的考慮各種因素.
1.隻用于内網的主機安全掃描,對于内網的漏洞發掘.
2.隻對外網的網站做好掃描,檢測網站漏洞并利用.
3.網站需要登入,且認證時需要填寫驗證碼、企業名稱等驗證資訊,用掃描器檢測是否存在繞過漏洞.
4.公司為了檢測所有系統主機的安全性,可能有幾百個C段IP,能否批量快速檢測,提高掃描效率.
5.針對忽然間爆發的網站安全高危漏洞,需要快速對所有網站網站安全做好全面檢查.
6.對于存在風險的安全問題,需要快速找到發生漏洞的原因,并可以對網站安全的歸屬或負責人做好溯源分析落實.
7.需要知道所有檢測出來的網站漏洞的修複狀态,并可以對其進行是否已經修複的快速驗證.
8.有自己的網站安全測試服務管理平台,想将其作為漏洞掃描工具使用,直接合為一體使用.
9.有自己的漏洞服務管理平台,想将漏洞掃描工具的輸出作為漏洞服務管理平台的輸入源,合為一體.
随便舉例,就有那麼多各不相同的需求,論其實際使用時,各公司的網絡環境、網站安全測評登記以及管理權限模式等客觀因素更是相差很大,同時,執行操作技術人員水準也并不一緻,進而導緻同一個掃描器,在用對的情況下,掃描實際效果可以一鳴驚人,但是用錯的時候,效果卻往往達不到渴望值。不一樣環境下,網站漏洞掃描器的使用實用技巧.評估安全系數,僅僅為了檢測網站安全是否存在風險。
環境一:主動檢測安全漏洞并做好風險檢測.該環境主要用于隻想對網站安全做好風險識别的公司,通常用于網站安全的日常監測、定期安全檢查、首發漏洞的應急檢測等,在有助于保障企業安全網站安全的同時,還可以降低管控檢查風險,提升對應急漏洞做好排查的效率。
這裡從内網和外網兩個不一樣的環境,分别将公司網站安全作為輸入源,輸入源可以是IP、域名、服務或網址,不一樣輸入源最終都經過掃描引擎一系列全自動處理,檢測出系統漏洞和Web通用漏洞。
環境二:借助人工爬取url被動模式檢測網站安全,進而做好網站安全風險檢測,該環境更多的主要用于軟體開發中心的安全檢測功能,這些需求公司的共同特點是有專門做好軟體功能測試的技術人員。實時借助這些功能測試技術人員的檢測測試資料,以人工爬取代替機器爬取,既可以彌補機器爬取可能爬取連結不全的缺點,又可以大大節省公司人工成本、降低公司風險成本預算。這裡的關鍵環節在于如何實時擷取到測試人員的檢測測試資料并對其進行解密,需要視公司環境而定,一般采用在用戶端配置代理的模式、在伺服器端配置代理的模式或VPN模式等。測試資料擷取後,輸入進掃描引擎,經過一系列自動識别檢測,可以檢測出存在的Web通用漏洞或簡單的邏輯漏洞。
環境三:借助其他方式被動檢測網站安全,進而做好風險檢測.該環境的公司特點是網站安全檢測工作量龐大,網站安全建設部門摸清公司網站安全比較困難。通過實時鏡像交換機等裝置上的測試資料,來對掌握的公司網站安全資訊做好查漏補缺。如果涉及到無法檢測的HTTPS加密測試資料,內建日志分析服務,可對Nginx/Apache等伺服器産生的日志做好分析,全自動發現掃描漏洞。這裡的關鍵環節在測試資料或日志檔案的解析上,需要比對的解析規則來保證鏡像測試資料或日志被掃描引擎可檢測,然後做好一系列的風險識别操作,與上述一緻,作為服務管理平台,依據安全評估能力對輸入或輸出的資源做好管理。
環境四:網站安全分析與閉環管理,統一網站安全風險檢測輸入源這種環境主要主要用于有一定規模網站安全、但同時網站安全建設部門又沒有網站安全服務管理平台的公司。這類網站安全服務管理平台一般都可以與安全評估工具做好對接,進而使得靜态網站安全動态化,保證安全檢測時網站安全的有效性,同時還友善對公司網站安全的變更做好實時監控。
網站漏洞掃描器主要為企業安全建設管理者解決如下問題:
明确公司有哪些網站安全、網站安全各種指紋資訊以及網站安全之間的關聯關系,便于檢測風險關聯追蹤網站安全所屬部門以及負責人,便于解決風險問題定位關注的網站安全類别,便于應急漏洞的及時檢測響應。
對接公司已有的其他掃描工具,便于公司網站安全集中統一管理,網站安全服務管理平台的輸入源可以是與CMDB的對接、與各種開源掃描工具的對接、與各種商業掃描産品的對接等,為企業安全建設管理者提供一個統一可視化的網站安全服務管理平台。
環境五:漏洞狀态閉環管理,跟蹤漏洞生命周期情況,這種環境主要用于公司業務十分複雜,但是沒有漏洞服務管理平台的公司。網站漏洞掃描器主要為企業安全建設管理者解決的問題是:
1.檢視漏洞的修複狀态,對生命周期軌迹的追蹤,複測漏洞,對已修複漏洞的驗證與驗收。
2.理想的漏洞服務管理平台,應該可以與各種開源或商業化的漏掃産品做好對接,統一管理公司存在的所有漏洞。
3.超大資産規模下,高性能掃描器成為首選。
大量網站安全無法快速掃描完成的問題-掃描引擎分布式部署。此種環境主要是為了提升掃描效率而設定,一般用于網站安全量比較大、且需要短時間内完成掃描的公司。按網站安全量評估,在不一樣的網絡區域分别部署一個或多個引擎掃描節點,滿足在掃描大量網站安全時可以以線性的掃描效率做好提升。
需多級管理的繁雜業務模式-級聯部署
此種環境主要主要用于有子公司的公司。為了做好權限管理,總部和分部、分部與分部之間需要級聯或獨立管理,是以在這種環境下,必須采用級聯部署模式.掃描引擎分布式與級聯部署拓撲圖如下圖所示:SINESAFE網站安全評估系統,經過長期打磨優化,已逐漸成長為一款主要用于以上公司不一樣環境的安全評估産品,基于不一樣環境的執行個體環境中持續優化疊代,并根據網站漏洞掃描器本身具備的特點,尋求更多與其他安全産品或工具對接機會,為廣大支援者提供更多的公司環境解決方案。