近年來，隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，Web應(yīng)用系統(tǒng)如雨后春筍般大規(guī)模涌現(xiàn)。但當(dāng)Web應(yīng)用系統(tǒng)被廣泛應(yīng)用且蘊含經(jīng)濟價值愈發(fā)凸顯的同時，卻因其互聯(lián)、開放等特性，更容易遭受黑客攻擊，因此也面臨著漏洞威脅。

Web漏洞掃描UWS（爬蟲單次）服務(wù)是UCloud與綠盟科技合作開發(fā)的一種能遠(yuǎn)程通過爬蟲方式進行網(wǎng)站漏洞掃描的服務(wù)，客戶無需采購任何Web應(yīng)用掃描產(chǎn)品，即可獲得網(wǎng)站的漏洞態(tài)勢以及每個漏洞的修補建議。

Web應(yīng)用系統(tǒng)時刻面臨漏洞威脅

中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)發(fā)布的第41次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》顯示：截至2017年12月，中國網(wǎng)站數(shù)量為533萬個，中國網(wǎng)民數(shù)量達到7.72億，中國手機網(wǎng)民規(guī)模達7.53億。

然而，在Web應(yīng)用系統(tǒng)廣泛應(yīng)用于公共領(lǐng)域（政治、經(jīng)濟、文化、國防等）以及個人領(lǐng)域（娛樂、咨詢、交流、溝通等）時，Web應(yīng)用系統(tǒng)因其互聯(lián)、開放等特性，更容易遭受黑客攻擊，也面臨著漏洞威脅。從2005年至今，漏洞數(shù)量一直居高不下，這也是導(dǎo)致網(wǎng)站等面向互聯(lián)網(wǎng)的Web應(yīng)用頻繁遭受攻擊的重要原因。

網(wǎng)絡(luò)安全防護利器——漏洞掃描

如果將網(wǎng)絡(luò)安全工作當(dāng)作一場戰(zhàn)爭，漏洞掃描器就是這場戰(zhàn)爭中，盤旋在終端網(wǎng)絡(luò)設(shè)備上空的“無人偵察機”。它能夠及時、準(zhǔn)確地檢測出信息平臺基礎(chǔ)架構(gòu)的安全漏洞，為保證公司業(yè)務(wù)高效順利地展開和維護企業(yè)信息資產(chǎn)安全提供強力保障。

漏洞掃描是指基于漏洞數(shù)據(jù)庫，通過掃描等手段對指定遠(yuǎn)程或者本地計算機系統(tǒng)的安全脆弱性進行檢測，發(fā)現(xiàn)可利用漏洞的一種安全檢測（滲透攻擊）行為。網(wǎng)絡(luò)安全防護工作是防守與進攻的博弈，是保證信息安全的基石，因此只有及時準(zhǔn)確地發(fā)現(xiàn)自有信息平臺的漏洞和問題，才能在信息安全戰(zhàn)爭中處于先機，立于不敗之地。

Web漏洞掃描UWS（爬蟲單次）服務(wù)優(yōu)勢明顯

網(wǎng)站的風(fēng)險漏洞是站點被攻擊的根源，Web漏洞掃描UWS（爬蟲單次）服務(wù)支持遠(yuǎn)程掃描多種系統(tǒng)漏洞和按照國際權(quán)威安全機構(gòu)WASC分類的25種Web應(yīng)用漏洞，全面覆蓋OWASP Top 10 Web應(yīng)用風(fēng)險。

1.應(yīng)用場景

• 例行運維過程中，隨時了解當(dāng)前網(wǎng)站的漏洞情況。

• 在網(wǎng)站應(yīng)用正式上線前，提供客觀的安全數(shù)據(jù)依據(jù)。

客戶準(zhǔn)備進行網(wǎng)站信息系統(tǒng)安全等級保護的定級和測評，需要進行漏洞掃描。根據(jù)信息系統(tǒng)安全等級保護基本要求，能夠發(fā)現(xiàn)重要的安全漏洞，是申請安全保護等級第二級以上的信息系統(tǒng)應(yīng)具備的基本安全保護能力。

2.服務(wù)特性

• 無需部署、按需使用

Web漏洞掃描UWS（爬蟲單次）服務(wù)是一款純SaaS服務(wù),因此客戶無需安裝任何硬件或軟件，無需改變目前的網(wǎng)絡(luò)部署狀況。按需付費的方式，不僅節(jié)省客戶在采購安全軟件或設(shè)備方面的投入與維護成本，并且減少安全人員投入，節(jié)省客戶人力資源成本和管理費用。

• Web應(yīng)用安全評估全面

Web漏洞掃描UWS（爬蟲單次）服務(wù)安全評估服務(wù)范圍包括門戶網(wǎng)站、電子商務(wù)、網(wǎng)上營業(yè)廳等各種Web應(yīng)用系統(tǒng)，同時其全面性還體現(xiàn)在以下兩個方面：

檢測范圍：

• 覆蓋Ajax、Flash、JavaScript等Web2.0環(huán)境；
• 支持PHP、ASP、.NET和Java等編程語言；
• 支持IIS、Apache、Nginx、Tomcat等Web服務(wù)器；
• 支持各種靜態(tài)頁面（后綴名為：html、htm等）和動態(tài)頁面（后綴名為：asp、jsp、php、asp、jsp、php、aspx、phtml、shtml、xhtml、do等）；
• 支持Flash攻擊檢測、復(fù)雜字符編碼、會話令牌管理、多種認(rèn)證方式（Basic、NTLM、Cookie、SSL等）；
• 支持代理掃描，HTTPS掃描等。

風(fēng)險分析：

• 支持WASC的漏洞分類，以及按照威脅嚴(yán)重性分高、中、低三個等級進行風(fēng)險分析；
• 支持兩個版本的OWASP TOP10漏洞分類和風(fēng)險分析，為用戶提供權(quán)威的分析結(jié)果；
• 支持風(fēng)險的對比分析和趨勢分析，既可以幫助用戶進行多站點差異化風(fēng)險管理，還可以助其更準(zhǔn)確了解、分析站點的歷史風(fēng)險狀況和未來的風(fēng)險趨勢，提高風(fēng)險管理水平。

• 快速穩(wěn)定掃描

Web漏洞掃描UWS（爬蟲單次）服務(wù)基于UCloud與綠盟科技的多年安全技術(shù)積累，運用智能頁面爬取、資源動態(tài)調(diào)節(jié)、代理緩存機制和實時任務(wù)調(diào)度等技術(shù)，可實現(xiàn)對大規(guī)模網(wǎng)站的快速穩(wěn)定掃描。

• 無損漏洞掃描

網(wǎng)站的業(yè)務(wù)健康性是網(wǎng)站運維中至關(guān)重要的指標(biāo)，而Web漏洞掃描UWS（爬蟲單次）服務(wù)采用了無損的漏洞掃描技術(shù)，因此可以避免該服務(wù)對網(wǎng)站業(yè)務(wù)的健康性造成影響。

• 全方位檢測合一

對于攻擊者來說，IT系統(tǒng)的很多方面都存在脆弱性。這些方面包括常見的操作系統(tǒng)漏洞、應(yīng)用系統(tǒng)漏洞、弱口令，也包括容易被忽略的錯誤安全配置問題，以及違反最小化原則開放的不必要的賬號、服務(wù)、端口等。

Web漏洞掃描UWS（爬蟲單次）服務(wù)能夠全方位檢測系統(tǒng)存在的脆弱性，發(fā)現(xiàn)系統(tǒng)的安全漏洞、安全配置問題、應(yīng)用系統(tǒng)安全漏洞；檢查系統(tǒng)存在的弱口令；收集系統(tǒng)不必要開放的賬號、服務(wù)、端口。最終形成整體安全風(fēng)險報告，幫助安全管理人員先于攻擊者發(fā)現(xiàn)安全問題，及時進行修補。

• 豐富的漏洞庫

Web漏洞掃描UWS（爬蟲單次）服務(wù)的漏洞庫來自于UCloud安全團隊與綠盟科技NSFOCUS安全小組。其中有多位專職研究員進行漏洞跟蹤和漏洞前瞻性研究，并且為國際上知名網(wǎng)絡(luò)安全廠商提供相關(guān)漏洞的規(guī)則支持。具體規(guī)則更新由UCloud安全人員與NSFOCUS安全小組共同負(fù)責(zé)Web漏洞掃描（爬蟲單次）服務(wù)的漏洞知識庫和檢測規(guī)則維護，除定期每兩周的升級外，重大漏洞的升級在全球首次發(fā)現(xiàn)后，兩天內(nèi)便可完成。

依靠專業(yè)安全團隊的研究積累，Web漏洞掃描UWS（爬蟲單次）服務(wù)知識庫已經(jīng)有超過10000條系統(tǒng)漏洞信息，涵蓋所有主流基礎(chǔ)系統(tǒng)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備等網(wǎng)元對象。同時，知識庫中還提供7大類30多種產(chǎn)品上百個版本系統(tǒng)的配置檢查庫，并且由綠盟科技作為專業(yè)安全廠商為其提供加固修補建議。

安全評估是保障網(wǎng)站安全的重要手段，通過掃描發(fā)現(xiàn)目標(biāo)網(wǎng)站是否存在掛馬以及是否存在能被黑客利用的各種漏洞，進而促進網(wǎng)站漏洞修補工作，這是從根本上解決安全問題的有效途徑。Web漏洞掃描UWS（爬蟲單次）服務(wù)以其便捷的配置、全面快速的檢測能力和多環(huán)境適應(yīng)性成為企業(yè)網(wǎng)站風(fēng)險管理的得力助手，可廣泛應(yīng)用于政府、等級保護測評機構(gòu)、公安、運營商、金融、能源、教育、醫(yī)療、互聯(lián)網(wǎng)等行業(yè)，適用于針對Web應(yīng)用的安全檢查和風(fēng)險自評。