當前位置:首頁 > 安全 >

警惕web應用程序漏洞!

公布时间:2019-07-25 14:09:26 來源:互聯網 作者:佚名
[摘要]傳統的漏洞掃描工具是基于公開漏洞庫的,檢測的是已經公開的已知漏洞,所以使用傳統的漏洞掃描工具並不能對web應用的安全性進行全面的評估。
傳統的漏洞掃描工具是基于公開漏洞庫的,檢測的是已經公開的已知漏洞,所以使用傳統的漏洞掃描工具並不能對web應用的安全性進行全面的評估。與第三方軟件漏洞差异,因爲web應用程序屬于定制系統,所以其漏洞基本上屬于0day漏洞。如果網站存在安全漏洞,輕則導致網頁被窜改、網站被植入木馬、信息泄漏等,嚴重的可能導致資金安全,甚至引發連鎖的網絡欺詐等惡性事件。

因爲網站的開發者普遍缺乏安全意識,編程過程中容易引入安全問題,同時由于網站的公開性,所以網站很容易吸引黑客的注意,並把它作爲攻擊的開始或入口。

這種漏洞目前有兩種發現方式,一種是通過代碼審計方式,如:Fortify和Checkmarx可以通過對軟件安全漏洞和質量缺陷在代碼的運行時的數據傳遞和調用圖跟蹤來識別應用漏洞;還有一種就是通過滲透測試,如webpecker網站啄木鳥。市面上大多數的web漏洞掃描工具側重于系統和web組件的補丁更新情況進行識別,這些漏洞通常打補丁就可以解決,而webpecker網站啄木鳥則是側重于web應用層面的專業級漏掃工具,掃出的漏洞並不能通過打補丁的方式解決,需要根據安全建議,對web應用程序進行有針對性的整改和修複。

WebPecker系統是北京智恒網安科技有限公司曆經十年研發,目前已經升級到7.0的版本,在web應用0day漏洞挖掘方面已經在國內處于領導者地位,目前已經支持SAAS模式,各人自行注冊即可使用,沒有檢測出漏洞不用花任何成本。建議用戶利用webpecker網站啄木鳥,從web應用安全角度,對曆史的、新發布及即將發布的業務系統進行全面的評估,以確保最小化業務系統的安全風險。盡量不要忽視webpecker網站啄木鳥檢測出來的任何漏洞,有時看似幾乎毫無風險的漏洞,很可能在一個高水平的黑客眼裏恰恰是致命的。

國外流行的Appscan和WebInspect軟件,即便是最廉价的單機版,其價格也不是中小企業能承擔的,而且近幾年缺乏更新。而webpecker系統提供了多種版本,用戶可以根據自己的實際情況按需購買,且更新及時,同時具有較低的漏報率、誤報率和重報率,性價比極高。

再有,webpecker系統增強了認證掃描方式,且配置簡單。大多數國內web掃描系統,或者不具備認證掃描功能,或者支持認證掃描但功能較弱且配置複雜,因此掃描結果漏報率較高,並不能對業務系統進行全面的安全性分析。

另外webpecker的另一個亮點是支持漏洞驗證功能,這幾乎幸免了誤報的可能性,檢測結果更爲准確,報告的價值更突出,和做一次人工深度的滲透測試(普遍都在上萬元以上,有些甚至是需要幾十萬人工費用)是相當的。而web滲透依賴于技術人員的水平高低和滲透當時的狀態有關,做一次深度有價值的滲透測試通常會消耗很大的人力物力財力,報告結果也具有隨機性,並不能准確地進行評估。因此接纳webpecker的方式更爲科學,webpecker系統集成了幾十位業內專業人士的滲透技能,減少了人爲因素差別,最大限度的挖掘web應用漏洞,檢測結果更爲專業更爲全面,報告也比較詳盡,應用開發人員一目了然,可以根據報告內容直接修補編程缺陷。因此,可大大提高應用系統的安全性。

7-25-1 - 副本.png

WebPecker將成爲未來國內甚至國際上功能和性能各方面領先的系統,SAAS模式的分布式和資源共享,支持國內數萬網站同時進行監測,爲國內廣大主管機構以及安全測評提供有效支持。

webpecker部署示意圖如下:

7-25-2 - 副本.png

【返回首頁】