与第三方软件漏洞不同,因为web应用程序属于定制系统,所以其漏洞基本上属于0day漏洞。传统的漏洞扫描工具是基于公开漏洞库的,检测的是已经公开的已知漏洞,所以使用传统的漏洞扫描工具并不能对web应用的安全性进行全面的评估。
因为网站的开发者普遍缺乏安全意识,很容易引入安全问题,同时由于网站的公开性,所以网站很容易吸引黑客的注意,并把它作为攻击的开始或入口。如果网站存在安全漏洞,轻则导致网页被篡改、网站被植入木马、信息泄漏等,严重的可能导致资金安全,甚至引发连锁的网络欺诈等恶性事件。
这种漏洞目前有两种发现方式,一种是通过代码审计方式,如:Fortify和Checkmarx可以通过对软件安全漏洞和质量缺陷在代码的运行时的数据传递和调用图跟踪来识别应用漏洞;还有一种就是通过渗透测试方式,如webpecker网站啄木鸟。市面上大多数的web漏洞扫描工具侧重于系统和web组件的补丁更新情况进行识别,这些漏洞通常打补丁就可以解决,而webpecker网站啄木鸟则是侧重于web应用层面的专业级漏扫工具,扫出的漏洞并不能通过打补丁的方式解决,需要根据安全建议,进行有针对性的整改和修复。
WebPecker系统是北京智恒网安科技有限公司历经10年研发,目前已经升级到7.0的版本,在web应用0day漏洞挖掘方面已经在国内处于领导者地位,目前已经支持SAAS模式,大家自行注册即可使用,没有检测出漏洞不用花任何成本。建议用户利用WebPecke网站啄木鸟,从web应用安全角度,对历史的、新发布及即将发布的业务系统进行全面的评估,以确保最小化业务系统的安全风险。尽量不要忽视WebPecke网站啄木鸟检测出来的任何漏洞,有时看似几乎毫无风险的漏洞,很可能在一个高水平的黑客眼里恰恰是致命的。
国外流行的Appscan和WebInspect软件,即便是最便宜的单机版,其价格也不是中小企业能承担的,而且近几年缺乏更新。而webpecker系统提供了多种版本,用户可以根据自己的实际情况按需购买,且更新升级及时,同时具有较低的漏报率、误报率和重报率,性价比极高。
再有,WebPecker系统增强了认证扫描方式,且配置简单。大多数国内web扫描系统,或者不具备认证扫描功能,或者支持认证扫描但功能较弱且配置复杂,因此扫描结果漏报率较高,并不能对业务系统进行全面的安全性分析。
另外WebPecker的另一个亮点是支持漏洞验证功能,这几乎避免了误报的可能性,检测结果更为准确,报告的价值更突出,这和做一次深度的渗透测试是相当的。而web渗透对人的因素影响较大,这依赖于技术人员的水平高低和渗透当时的状态有关,做一次深度有价值的渗透测试通常会消耗很大的人力物力财力,报告结果也具有随机性,并不能准确地进行评估。因此采用WebPecker的方式更为科学,系统集成了几十位业内专业人士的渗透技能,减少了人为因素差别,最大限度的挖掘web应用漏洞,检测结果更为专业更为全面,报告也比较详尽,应用开发人员一目了然,可以根据报告内容直接修补编程缺陷。因此,可大大提高应用系统的安全性。
支持同一网站不同时期的安全性比对,如上图所示。通过该功能,可以对业务系统的整个生命周期进行安全跟踪,了解业务系统安全趋势。
WebPecker支持周期性扫描功能,未来将很快支持网站的可用性和性能监测,对于网页篡改页面的检测功能也很快即将发布。这将成为未来市面上功能和性能各方面领先的系统,SAAS模式的分布式和资源共享,支持国内数万网站同时进行监测,为国内广大主管机构以及安全测评提供有效支持。(了解更多请访问www.webpecker.cn)
WebPecker部署示意图
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。
