再見(jiàn)，0day漏洞！

與第三方軟件漏洞不同,因?yàn)閣eb應(yīng)用程序?qū)儆诙ㄖ葡到y(tǒng),所以其漏洞基本上屬于0day漏洞。傳統(tǒng)的漏洞掃描工具是基于公開漏洞庫(kù)的,檢測(cè)的是已經(jīng)公開的已知漏洞,所以使用傳統(tǒng)的漏洞掃描工具并不能對(duì)web應(yīng)用的安全性進(jìn)行全面的評(píng)估。

因?yàn)榫W(wǎng)站的開發(fā)者普遍缺乏安全意識(shí),很容易引入安全問(wèn)題,同時(shí)由于網(wǎng)站的公開性,所以網(wǎng)站很容易吸引黑客的注意,并把它作為攻擊的開始或入口。如果網(wǎng)站存在安全漏洞,輕則導(dǎo)致網(wǎng)頁(yè)被篡改、網(wǎng)站被植入木馬、信息泄漏等,嚴(yán)重的可能導(dǎo)致資金安全,甚至引發(fā)連鎖的網(wǎng)絡(luò)欺詐等惡性事件。

這種漏洞目前有兩種發(fā)現(xiàn)方式,一種是通過(guò)代碼審計(jì)方式,如:Fortify和Checkmarx可以通過(guò)對(duì)軟件安全漏洞和質(zhì)量缺陷在代碼的運(yùn)行時(shí)的數(shù)據(jù)傳遞和調(diào)用圖跟蹤來(lái)識(shí)別應(yīng)用漏洞;還有一種就是通過(guò)滲透測(cè)試方式,如webpecker網(wǎng)站啄木鳥。市面上大多數(shù)的web漏洞掃描工具側(cè)重于系統(tǒng)和web組件的補(bǔ)丁更新情況進(jìn)行識(shí)別,這些漏洞通常打補(bǔ)丁就可以解決,而webpecker網(wǎng)站啄木鳥則是側(cè)重于web應(yīng)用層面的專業(yè)級(jí)漏掃工具,掃出的漏洞并不能通過(guò)打補(bǔ)丁的方式解決,需要根據(jù)安全建議,進(jìn)行有針對(duì)性的整改和修復(fù)。

WebPecker系統(tǒng)是北京智恒網(wǎng)安科技有限公司歷經(jīng)10年研發(fā),目前已經(jīng)升級(jí)到7.0的版本,在web應(yīng)用0day漏洞挖掘方面已經(jīng)在國(guó)內(nèi)處于領(lǐng)導(dǎo)者地位,目前已經(jīng)支持SAAS模式,大家自行注冊(cè)即可使用,沒(méi)有檢測(cè)出漏洞不用花任何成本。建議用戶利用WebPecke網(wǎng)站啄木鳥,從web應(yīng)用安全角度,對(duì)歷史的、新發(fā)布及即將發(fā)布的業(yè)務(wù)系統(tǒng)進(jìn)行全面的評(píng)估,以確保最小化業(yè)務(wù)系統(tǒng)的安全風(fēng)險(xiǎn)。盡量不要忽視WebPecke網(wǎng)站啄木鳥檢測(cè)出來(lái)的任何漏洞,有時(shí)看似幾乎毫無(wú)風(fēng)險(xiǎn)的漏洞,很可能在一個(gè)高水平的黑客眼里恰恰是致命的。

國(guó)外流行的Appscan和WebInspect軟件,即便是最便宜的單機(jī)版,其價(jià)格也不是中小企業(yè)能承擔(dān)的,而且近幾年缺乏更新。而webpecker系統(tǒng)提供了多種版本,用戶可以根據(jù)自己的實(shí)際情況按需購(gòu)買,且更新升級(jí)及時(shí),同時(shí)具有較低的漏報(bào)率、誤報(bào)率和重報(bào)率,性價(jià)比極高。

再有,WebPecker系統(tǒng)增強(qiáng)了認(rèn)證掃描方式,且配置簡(jiǎn)單。大多數(shù)國(guó)內(nèi)web掃描系統(tǒng),或者不具備認(rèn)證掃描功能,或者支持認(rèn)證掃描但功能較弱且配置復(fù)雜,因此掃描結(jié)果漏報(bào)率較高,并不能對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行全面的安全性分析。

另外WebPecker的另一個(gè)亮點(diǎn)是支持漏洞驗(yàn)證功能,這幾乎避免了誤報(bào)的可能性,檢測(cè)結(jié)果更為準(zhǔn)確,報(bào)告的價(jià)值更突出,這和做一次深度的滲透測(cè)試是相當(dāng)?shù)?。而web滲透對(duì)人的因素影響較大,這依賴于技術(shù)人員的水平高低和滲透當(dāng)時(shí)的狀態(tài)有關(guān),做一次深度有價(jià)值的滲透測(cè)試通常會(huì)消耗很大的人力物力財(cái)力,報(bào)告結(jié)果也具有隨機(jī)性,并不能準(zhǔn)確地進(jìn)行評(píng)估。因此采用WebPecker的方式更為科學(xué),系統(tǒng)集成了幾十位業(yè)內(nèi)專業(yè)人士的滲透技能,減少了人為因素差別,最大限度的挖掘web應(yīng)用漏洞,檢測(cè)結(jié)果更為專業(yè)更為全面,報(bào)告也比較詳盡,應(yīng)用開發(fā)人員一目了然,可以根據(jù)報(bào)告內(nèi)容直接修補(bǔ)編程缺陷。因此,可大大提高應(yīng)用系統(tǒng)的安全性。

支持同一網(wǎng)站不同時(shí)期的安全性比對(duì),如上圖所示。通過(guò)該功能,可以對(duì)業(yè)務(wù)系統(tǒng)的整個(gè)生命周期進(jìn)行安全跟蹤,了解業(yè)務(wù)系統(tǒng)安全趨勢(shì)。

WebPecker支持周期性掃描功能,未來(lái)將很快支持網(wǎng)站的可用性和性能監(jiān)測(cè),對(duì)于網(wǎng)頁(yè)篡改頁(yè)面的檢測(cè)功能也很快即將發(fā)布。這將成為未來(lái)市面上功能和性能各方面領(lǐng)先的系統(tǒng),SAAS模式的分布式和資源共享,支持國(guó)內(nèi)數(shù)萬(wàn)網(wǎng)站同時(shí)進(jìn)行監(jiān)測(cè),為國(guó)內(nèi)廣大主管機(jī)構(gòu)以及安全測(cè)評(píng)提供有效支持。(了解更多請(qǐng)?jiān)L問(wèn)www.webpecker.cn)

　　WebPecker部署示意圖

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。