Web應用掃描器通過Web前端與Web應用程序通信，可以自動檢查Web應用程序，探測、分析其響應，從而發(fā)現(xiàn)潛在的安全問題和架構缺陷。其掃描方式和掃描特性在很大程度上決定著功能是否強大。企業(yè)在選擇Web應用掃描方案時應考慮的重要特性主要有如下方面：

[[119518]]

自動發(fā)現(xiàn)隱藏的應用程序;對應用程序進行分組，以便于掃描和報告;可從幾個應用無縫擴展到大量應用;根據用戶設置的具體時間進行掃描;使用多種認證形式進入應用;高效地掃描企業(yè)網絡中不同部分的應用程序;根據最佳操作指南確定漏洞;發(fā)現(xiàn)隱藏在應用程序中的惡意軟件;幫助安全管理者確定首先修復哪些漏洞;可用于Web應用的各個階段(開發(fā)、測試、生產等階段);多人互不干擾地同時使用。下面談幾個重要方面。

1. Web應用掃描器可以發(fā)現(xiàn)隱藏的Web應用嗎?

Web應用程序可能在管理人員并不知情的情況下就出現(xiàn)在企業(yè)的網絡中，而且還容易被人們忘記。為實現(xiàn)真正的安全，企業(yè)需要發(fā)現(xiàn)隱藏在環(huán)境中的非正式的或未登記的應用。企業(yè)應選擇能夠掃描內部網絡又面向互聯(lián)網的解決方案，并能夠發(fā)現(xiàn)企業(yè)的所有Web應用和分類。

2. Web應用掃描器的準確性如何?

準確性至關重要。遺漏的漏洞會使企業(yè)的安全防御體系功虧一簣。相反，一些假情報(或 “似是而非”的情報)可能會浪費企業(yè)的IT資源。因此，企業(yè)可使用代表本企業(yè)技術和環(huán)境的應用程序測試一下Web應用掃描器的準確性。

3. Web應用掃描器可擴展嗎?

隨著時間的推移，企業(yè)的Web應用會越來越多。而大型企業(yè)應當關注能夠快速高效地處理分布在多個位置的大量應用程序的Web應用掃描器。

4. Web應用掃描器能夠同時管理和掃描多個應用程序嗎?

高級的Web應用掃描器可以使管理員配置、掃描、報告多個應用程序，企業(yè)可以連續(xù)性地管理所有Web應用程序的安全性。

5. Web應用掃描器能夠自動掃描或連續(xù)掃描嗎?

雖然Web應用掃描器應當給用戶人工啟動掃描的功能，但其真正的力量來自自動化。用戶(企業(yè))應當能夠在一個位置就可以配置所有應用程序的掃描，并且可以根據設置的計劃(如在維護期間)來開始和結束掃描。

6. 用戶之間可以分配應用程序的控制嗎?

現(xiàn)代的Web應用掃描器的設計應使不同的用戶獨立地控制和查看自己的應用程序的掃描和報告。

7. Web應用掃描器可以查找哪些漏洞?

最佳的Web應用掃描器使用行業(yè)標準的漏洞源，如使用OWASP(開放Web應用安全項目)、WASC(Web 應用程序安全聯(lián)盟)等標準的漏洞源。企業(yè)應關注那些可以自動檢測SQL注入、跨站腳本攻擊(XSS)、跨站請求偽造(CSRF)、URL重定向等風險的解決方案。

8. Web應用掃描器可以使用身份驗證進行更深入的掃描嗎?

許多應用程序要求用戶登錄才能使用其全部功能。為更有效地測試這種應用程序，Web應用掃描器應當能夠像用戶一樣登錄，當然，其登錄形式可以是多樣化的，如可通過一個簡單的表單，或一個多步驟的交互，或是通過另一種認證機制。最佳的方案就是用戶簡單地提供一個用戶名和口令掃描方案就可以在需要時自動掃描。如果這種方法不可行，高級掃描器還可以記錄用戶的登錄，然后重新實施掃描。

9. Web應用掃描器可以掃描應用程序中的惡意軟件嗎?

攻擊者常常將惡意軟件上傳到合法的應用程序，其目的是為了感染其它用戶。企業(yè)選擇的掃描方案應當可以探查惡意內容(特別是那些可能被傳統(tǒng)的基于特征的防御系統(tǒng)遺漏的零日攻擊)。

10. Web應用掃描器可以保護掃描結果嗎?

企業(yè)應確保掃描方案可以將漏洞數(shù)據存放在遠離用戶的地方，以防止用戶的破壞，例如，放到云中，以便于未來的審計。