再見，0day漏洞！

與第三方軟件漏洞不同,因為web應(yīng)用程序?qū)儆诙ㄖ葡到y(tǒng),所以其漏洞基本上屬于0day漏洞。傳統(tǒng)的漏洞掃描工具是基于公開漏洞庫的,檢測的是已經(jīng)公開的已知漏洞,所以使用傳統(tǒng)的漏洞掃描工具并不能對web應(yīng)用的安全性進(jìn)行全面的評估。

因為網(wǎng)站的開發(fā)者普遍缺乏安全意識,很容易引入安全問題,同時由于網(wǎng)站的公開性,所以網(wǎng)站很容易吸引黑客的注意,并把它作為攻擊的開始或入口。如果網(wǎng)站存在安全漏洞,輕則導(dǎo)致網(wǎng)頁被篡改、網(wǎng)站被植入木馬、信息泄漏等,嚴(yán)重的可能導(dǎo)致資金安全,甚至引發(fā)連鎖的網(wǎng)絡(luò)欺詐等惡性事件。

這種漏洞目前有兩種發(fā)現(xiàn)方式,一種是通過代碼審計方式,如:Fortify和Checkmarx可以通過對軟件安全漏洞和質(zhì)量缺陷在代碼的運行時的數(shù)據(jù)傳遞和調(diào)用圖跟蹤來識別應(yīng)用漏洞;還有一種就是通過滲透測試方式,如webpecker網(wǎng)站啄木鳥。市面上大多數(shù)的web漏洞掃描工具側(cè)重于系統(tǒng)和web組件的補丁更新情況進(jìn)行識別,這些漏洞通常打補丁就可以解決,而webpecker網(wǎng)站啄木鳥則是側(cè)重于web應(yīng)用層面的專業(yè)級漏掃工具,掃出的漏洞并不能通過打補丁的方式解決,需要根據(jù)安全建議,進(jìn)行有針對性的整改和修復(fù)。

WebPecker系統(tǒng)是北京智恒網(wǎng)安科技有限公司歷經(jīng)10年研發(fā),目前已經(jīng)升級到7.0的版本,在web應(yīng)用0day漏洞挖掘方面已經(jīng)在國內(nèi)處于領(lǐng)導(dǎo)者地位,目前已經(jīng)支持SAAS模式,大家自行注冊即可使用,沒有檢測出漏洞不用花任何成本。建議用戶利用WebPecke網(wǎng)站啄木鳥,從web應(yīng)用安全角度,對歷史的、新發(fā)布及即將發(fā)布的業(yè)務(wù)系統(tǒng)進(jìn)行全面的評估,以確保最小化業(yè)務(wù)系統(tǒng)的安全風(fēng)險。盡量不要忽視WebPecke網(wǎng)站啄木鳥檢測出來的任何漏洞,有時看似幾乎毫無風(fēng)險的漏洞,很可能在一個高水平的黑客眼里恰恰是致命的。

國外流行的Appscan和WebInspect軟件,即便是最便宜的單機版,其價格也不是中小企業(yè)能承擔(dān)的,而且近幾年缺乏更新。而webpecker系統(tǒng)提供了多種版本,用戶可以根據(jù)自己的實際情況按需購買,且更新升級及時,同時具有較低的漏報率、誤報率和重報率,性價比極高。

再有,WebPecker系統(tǒng)增強了認(rèn)證掃描方式,且配置簡單。大多數(shù)國內(nèi)web掃描系統(tǒng),或者不具備認(rèn)證掃描功能,或者支持認(rèn)證掃描但功能較弱且配置復(fù)雜,因此掃描結(jié)果漏報率較高,并不能對業(yè)務(wù)系統(tǒng)進(jìn)行全面的安全性分析。

另外WebPecker的另一個亮點是支持漏洞驗證功能,這幾乎避免了誤報的可能性,檢測結(jié)果更為準(zhǔn)確,報告的價值更突出,這和做一次深度的滲透測試是相當(dāng)?shù)摹６鴚eb滲透對人的因素影響較大,這依賴于技術(shù)人員的水平高低和滲透當(dāng)時的狀態(tài)有關(guān),做一次深度有價值的滲透測試通常會消耗很大的人力物力財力,報告結(jié)果也具有隨機性,并不能準(zhǔn)確地進(jìn)行評估。因此采用WebPecker的方式更為科學(xué),系統(tǒng)集成了幾十位業(yè)內(nèi)專業(yè)人士的滲透技能,減少了人為因素差別,最大限度的挖掘web應(yīng)用漏洞,檢測結(jié)果更為專業(yè)更為全面,報告也比較詳盡,應(yīng)用開發(fā)人員一目了然,可以根據(jù)報告內(nèi)容直接修補編程缺陷。因此,可大大提高應(yīng)用系統(tǒng)的安全性。

支持同一網(wǎng)站不同時期的安全性比對,如上圖所示。通過該功能,可以對業(yè)務(wù)系統(tǒng)的整個生命周期進(jìn)行安全跟蹤,了解業(yè)務(wù)系統(tǒng)安全趨勢。

WebPecker支持周期性掃描功能,未來將很快支持網(wǎng)站的可用性和性能監(jiān)測,對于網(wǎng)頁篡改頁面的檢測功能也很快即將發(fā)布。這將成為未來市面上功能和性能各方面領(lǐng)先的系統(tǒng),SAAS模式的分布式和資源共享,支持國內(nèi)數(shù)萬網(wǎng)站同時進(jìn)行監(jiān)測,為國內(nèi)廣大主管機構(gòu)以及安全測評提供有效支持。(了解更多請訪問www.webpecker.cn)

　　WebPecker部署示意圖

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。