隨著網(wǎng)站業(yè)務(wù)所承載內(nèi)容的日益增多且重要性日益增強(qiáng)，網(wǎng)站本身的價(jià)值也越來越大，隨之由網(wǎng)站漏洞帶來的安全性問題也愈發(fā)嚴(yán)峻。新開通網(wǎng)站、新增專欄的準(zhǔn)入質(zhì)量評(píng)估，網(wǎng)站系統(tǒng)日常運(yùn)行狀況的檢查預(yù)防和風(fēng)險(xiǎn)掌控，這些已成為各行業(yè)每年安全大檢查中的關(guān)鍵要素。作為具體落實(shí)定期檢查工作的安全人員，也急需選擇一款優(yōu)秀的網(wǎng)站掃描產(chǎn)品進(jìn)行高效徹底的Web脆弱性評(píng)估檢查，而如何選擇一款真正實(shí)用的產(chǎn)品成為一個(gè)比較糾結(jié)的難題。

常見Web掃描方案的優(yōu)劣勢

目前常見的支持Web掃描解決方案的產(chǎn)品有很多，大家比較熟悉的有集成Web掃描模塊的多合一系統(tǒng)掃描器，網(wǎng)上可免費(fèi)下載的開源掃描器軟件以及近幾年剛嶄露頭角的獨(dú)立Web掃描器產(chǎn)品等，都可以進(jìn)行一定程度的Web安全掃描和漏洞發(fā)現(xiàn)。那么面對(duì)如此琳瑯滿目的選擇時(shí)，大家如何細(xì)致區(qū)分辨識(shí)其差異，就需嚴(yán)格立足于實(shí)際需要，最終做出***的判斷。

多合一的系統(tǒng)掃描器，通常會(huì)集主機(jī)掃描、配置核查、Web掃描及弱口令掃描于一身，是一款強(qiáng)大全面的多功能產(chǎn)品。但多合一的高度封裝導(dǎo)致其在進(jìn)行安全掃描時(shí)，除不能分配全部計(jì)算資源在Web掃描方面，掃描引擎自身還要兼顧到全方位的權(quán)衡與調(diào)優(yōu)。反觀目標(biāo)Web應(yīng)用呈現(xiàn)的種類多樣性、規(guī)模龐大性和運(yùn)行特殊性，在面對(duì)動(dòng)輒上萬、十萬甚至***別網(wǎng)頁數(shù)量的網(wǎng)站時(shí)，這種多合一產(chǎn)品就表現(xiàn)得差強(qiáng)人意，使用起來有種牛拉火車的感覺;同時(shí)，高效執(zhí)行掃描評(píng)估就必須具備高并發(fā)的網(wǎng)頁鏈接爬蟲識(shí)別和Web插件交互邏輯判斷能力，這一現(xiàn)實(shí)的沖突導(dǎo)致多合一掃描器在Web掃描及性能體驗(yàn)方面效果平平，優(yōu)勢不突出。

網(wǎng)上開源的Web掃描器軟件，盡管完全免費(fèi)并可以發(fā)現(xiàn)一些基本的漏洞信息，但其在***時(shí)間發(fā)現(xiàn)新爆Web漏洞和漏洞趨勢跟蹤分析、修補(bǔ)方面，完全不具備后期支撐能力。而且在人性化設(shè)計(jì)及低學(xué)習(xí)門檻方面也存在太多先天的不足，其性能與穩(wěn)定性更是與商業(yè)軟件相差甚遠(yuǎn)。

面對(duì)綜上同類產(chǎn)品，困惑于Web掃描場景需求種種局限的我們，很欣喜地看到了近幾年聲名鵲起的Web掃描器產(chǎn)品。它作為一款自動(dòng)化評(píng)估類工具，依據(jù)制定的策略對(duì)Web應(yīng)用系統(tǒng)進(jìn)行URL深度發(fā)現(xiàn)并全面掃描，尋找出Web應(yīng)用真實(shí)存在的安全漏洞，如跨站點(diǎn)腳本、SQL注入，命令執(zhí)行、目錄遍歷和不安全的服務(wù)器配置。Web掃描器產(chǎn)品可以通過主動(dòng)生成統(tǒng)計(jì)分析報(bào)告來幫助我們正確了解Web應(yīng)用漏洞的詳細(xì)分布、數(shù)量和風(fēng)險(xiǎn)優(yōu)先級(jí)，并對(duì)發(fā)現(xiàn)的安全漏洞提出相應(yīng)有力的改進(jìn)意見供后續(xù)修補(bǔ)參考，是幫助我們高效徹底地進(jìn)行Web脆弱性評(píng)估檢查的堅(jiān)實(shí)利器。

Web掃描器的三個(gè)誤區(qū)

針對(duì)現(xiàn)有市面上諸多品牌的Web掃描器，大家在評(píng)價(jià)它們孰優(yōu)孰劣時(shí)時(shí)常過于片面極端，主要表現(xiàn)為三個(gè)認(rèn)識(shí)誤區(qū)。

誤區(qū)1：多就是好!

認(rèn)為漏洞庫條目多，檢查出來的漏洞多就是好。Web掃描器面對(duì)龐大繁多、千差萬別的應(yīng)用系統(tǒng)，為提升檢測性能，多采用高效率的Web通用插件，以一掃多，其不再局限于某個(gè)專門應(yīng)用系統(tǒng)，深層次聚合歸并，盡可能多地發(fā)現(xiàn)多種應(yīng)用系統(tǒng)的同類漏洞。同時(shí)，對(duì)于掃描出來的非誤報(bào)漏洞，若同屬某一頁面不同參數(shù)所致的相同漏洞，歸納整理，讓最終呈現(xiàn)的漏洞報(bào)表簡約而不簡單，避免數(shù)量冗余、雜亂無章。故若以毫無插件歸并能力，僅靠大量專門Web系統(tǒng)插件、羅列各類漏洞列表數(shù)量多來博取贊許的Web掃描器，其本質(zhì)存在太多的不專業(yè)性。

誤區(qū)2：快就是好!

認(rèn)為掃描速度快耗時(shí)短的就是好。網(wǎng)站規(guī)模日趨復(fù)雜，日常檢查時(shí)我們期待Web掃描器能有更高效率地完成掃描任務(wù)，這點(diǎn)無可厚非，但檢查的本質(zhì)是要***限度地提前發(fā)現(xiàn)足夠多的漏洞，并***時(shí)間制定后續(xù)相應(yīng)的修補(bǔ)計(jì)劃。故在面對(duì)同一目標(biāo)站點(diǎn)時(shí)，Web掃描器若能在單位時(shí)間內(nèi)檢測出來的有效存在漏洞數(shù)越多，這個(gè)快才是真的好。

誤區(qū)3：小就是好!

認(rèn)為掃描過程中對(duì)目標(biāo)業(yè)務(wù)影響小就是好!這句話本身也沒有問題，只要Web掃描器在執(zhí)行掃描過程中，對(duì)目標(biāo)系統(tǒng)負(fù)載響應(yīng)和網(wǎng)絡(luò)鏈路帶寬占用，影響足夠小，也就是我們常說的“無損掃描”，它就具備了一款優(yōu)秀Web掃描器應(yīng)有的先決條件。但是，這必須是在能***限度發(fā)現(xiàn)Web漏洞的前提下才能考慮的關(guān)鍵因素，脫離這個(gè)產(chǎn)品本質(zhì)，就本末倒置了。

五個(gè)基本評(píng)優(yōu)標(biāo)準(zhǔn)

那么，評(píng)優(yōu)一款Web掃描器，我們該從何處著手?具體的判斷標(biāo)準(zhǔn)有哪些呢?

全——識(shí)別種類繁多的Web應(yīng)用，集成最全的Web通用插件，通過全面識(shí)別網(wǎng)站結(jié)構(gòu)和內(nèi)容，逐一判斷每一種漏洞可能性，換句話說，漏洞掃描的檢測率一定要高，漏報(bào)率務(wù)必低，最終才能輸出全面詳盡的掃描報(bào)告。這就要求其在Web應(yīng)用識(shí)別方面，支持各類Web語言類型(php、asp、.net、html)、應(yīng)用系統(tǒng)類型(門戶網(wǎng)站、電子政務(wù)、論壇、博客、網(wǎng)上銀行)、應(yīng)用程序類型(IIS、Apache、Tomcat)、第三方組件類型(Struts2、WebLogic、WordPress)等;插件集成方面，支持國際標(biāo)準(zhǔn)漏洞分類OWASP ***0和WASC插件分類模板，允許自定義掃描插件模板，***時(shí)間插件更新速度等。

準(zhǔn)——較高的漏洞準(zhǔn)確性是Web掃描器權(quán)威的象征，可視化分析可助用戶準(zhǔn)確定位漏洞、分析漏洞。而誤報(bào)是掃描類產(chǎn)品不能回避的話題。Web掃描器通過通用插件與目標(biāo)站點(diǎn)任一URL頁面進(jìn)行邏輯交互，通過可視化的漏洞跟蹤技術(shù)，精準(zhǔn)判斷和定位漏洞，并提供易讀易懂的詳細(xì)整改分析報(bào)告。除此之外，一款好的Web掃描器還要更具人性化，在漏洞發(fā)現(xiàn)后，允許掃描者進(jìn)行手工、自動(dòng)的漏洞批量驗(yàn)證，進(jìn)而雙重保障較高的準(zhǔn)確性結(jié)果。

快——快速的掃描速度，才能在面對(duì)越來越大的網(wǎng)站規(guī)模，越發(fā)頻繁的網(wǎng)站檢查時(shí)游刃有余，進(jìn)度保障。一款快速的Web掃描器除了有強(qiáng)勁馬力的掃描引擎，高達(dá)百萬/天的掃描速度，還要具備彈性靈活的集群掃描能力，任意增添掃描節(jié)點(diǎn)，輕松應(yīng)對(duì)可能苛刻的掃描周期時(shí)間要求。

穩(wěn)——穩(wěn)定可靠的運(yùn)行過程，對(duì)目標(biāo)環(huán)境近乎零影響的Web掃描器，才能在諸行業(yè)大面積投入使用，特別是一些對(duì)業(yè)務(wù)影響要求苛刻的行業(yè)會(huì)更受青睞，畢竟沒有人能夠接受一款評(píng)估類產(chǎn)品，會(huì)對(duì)目標(biāo)造成額外的損傷。市面上現(xiàn)在已有一些Web掃描器產(chǎn)品，其通過周期探尋目標(biāo)系統(tǒng)，網(wǎng)絡(luò)鏈路，自身性能負(fù)載等機(jī)制，依據(jù)目標(biāo)環(huán)境的負(fù)載動(dòng)態(tài)變化而自動(dòng)調(diào)節(jié)掃描參數(shù)，從而保障掃描過程的足夠穩(wěn)定和幾乎零影響。此外，隨著網(wǎng)站規(guī)模，檢查范圍的不斷擴(kuò)大，保證持續(xù)穩(wěn)定的掃描執(zhí)行和統(tǒng)計(jì)評(píng)估，盡量避免掃描進(jìn)度的半途而廢，也提出了較高的可靠性運(yùn)行要求。

易——人性化的界面配置，低成本的報(bào)表學(xué)習(xí)和強(qiáng)指導(dǎo)性修補(bǔ)建議。尤其是漏洞分布詳情和場景重現(xiàn)方面，市面上大多數(shù)Web掃描器的報(bào)表都需要專業(yè)安全人員的二次解讀后，普通的安全運(yùn)維檢查人員才能看懂，才知道長達(dá)百頁報(bào)表給出的重要建議和下一步的具體修補(bǔ)措施，這無疑給使用者造成了較高的技術(shù)門檻，那么如何解決此易讀、易用問題，就成為評(píng)定其優(yōu)劣與否的一個(gè)重要指標(biāo)。

總之，一款優(yōu)秀的Web掃描器產(chǎn)品，它需要嚴(yán)格恪守五字核心方針，全、準(zhǔn)、快、穩(wěn)、易，做到全方位均衡，這樣才能做到基本優(yōu)秀。同時(shí)，隨著網(wǎng)站檢查訴求的日益多元化，它若能附帶一些差異化特性，滿足大家不同場景的網(wǎng)站安全運(yùn)維掃描要求，如網(wǎng)站基本信息搜集，漏洞全過程時(shí)間軸跟蹤，逐步可視化的漏洞驗(yàn)證和場景重現(xiàn)，自動(dòng)修補(bǔ)直通車等，定會(huì)大大增加該款掃描器的評(píng)優(yōu)力度。