3. 重启Web应用漏洞扫描之门

　　3.1 运维理念的融合

　　3.1.1 网站资产识别，聚焦风险分布

　　在保持原有任务管理的基础上，融合网站安全运维理念的Web漏洞扫描产品必须具备网站资产识别能力。首先，通过只爬不扫，全面搜集目标站点信息,如网站规模大小、类型属性、资产映射表等基本信息，为下一步制定详细扫描策略提供参考性依据;其次，通过多级用户权限的分离，让不同角色的评估者从各自运维管理的视角，灵活地依据目标站点的闲时忙时、内容归属等，择时而扫、择目录而扫，进行针对性更强的站点指定扫描，从而满足从时间、角色、IP、域名、URL目录、隶属组织和部门名称的多维统一，更好地诠释扫描任务与当前网站相关资产的清晰对应，让网站安全态势从整体到局部一览无遗，尽显眼底。

　　3.1.2 无损式扫描，保障网站持续运行

　　融合网站安全运维理念的Web漏洞扫描产品必须具备无损扫描能力，来尽可能地降低扫描全过程对目标站点的干扰，保障网站业务持续运行。目前这方面的创新技术层出不穷，但简单归纳有如下几方面：

　　速度自调节。自身设置多个计时器，采取主动探寻机制，分别对目标站点响应、网络链路延时、自身性能负载进行实时监听，并依据其动态曲线变化，自动进行扫描参数的自我修正，来达到扫描速度的智能调节，最大程度地降低原有恒定速度扫描可能对扫描环境造成的过高压力。

　　不留干扰性代码。采用独创的插件检测机制，通过伪造等同效能的随机字符串替代真实java脚本，通过URL相似度判断让批量页面只做一次页面逻辑扫描，通过已知应用框架识别仅匹配调用专属的插件类型，通过让有逻辑递进关系的插件直接信息共享等方式，一扫网站扫描后残存大量干扰性代码的弊端。

　　带宽低占用。通过检测算法优化和报文高压缩比，最大程度降低扫描的平均请求、响应次数以及整体报文传输量。同时较低的扫描带宽占用，也增强了其在复杂环境扫描的适应能力，如在ADSL出口带宽苛刻的环境下进行远程扫描时，不会因带宽占用分配的不足导致扫描请求大量超时，严重影响扫描的稳定性和报告结果的准确性。

　　网站日志关联分析。为了有效降低传统网站爬虫对目标系统的干扰，Web扫描产品还必须具备网站日志关联分析能力。它除了对于一些网站孤链页面能达到传统网站爬虫无法有效爬取的辅助作用外，更重要的是可通过对网站自身因早期访问所产生的日志文件关联分析，直接减少爬虫学习页面的阶段，进入扫描插件的逻辑判断环节，从而既能从整体上大大加速页面定位和扫描时间，又能较多缓解爬虫爬取网站目录时可能造成的网络拥塞和网站资源干扰。

　　3.1.3 漏洞场景可视化重现

　　针对需要误报验证的漏洞清单，多数情况下，由于评估人员自身Web渗透测试技能的局限及手工验证大量漏洞的效率低下，让漏洞验证成为评估者极为头疼、望而生畏的一项工作。

　　因此，融合网站安全运维理念的Web漏洞扫描产品，若能够大大降低漏洞验证时对评估者的高门槛技能要求，针对批量待验证的各种Web漏洞类型，提供傻瓜式一键菜单，直接实现自动验证，免除现有的繁琐和人工之苦。同时，验证过程通过可视化方式进行呈现，让评估者清晰地知晓之前扫描时判断该漏洞存在的标准依据是什么，交互执行时都构造了哪些URL链接和数据参数，实际响应和判断依据的预期结果对比是何结果，甚至整个漏洞的确认过程中，与目标站点所进行的所有请求/响应的原始报文、页面源码都能有对应的说明文件，最后高亮显示存在漏洞的位置，让其一一尽显眼底。而对于验证失败的漏洞，给出具体失败的原因，如站点不可达、参数不全，或用户站点发生变化等情况。

　　此外，为了尽可能避免网站整改方对于漏洞是否存在的质疑，Web漏洞扫描产品还需提供离线的漏洞场景文件，它采取加密封装的方式，把如上描述的全过程内容细数打包，来方便检查双方彼此进行场景重现、权威取证，并为下一步的一体化漏洞修补提供先决条件。

　　3.1.4 漏洞跟踪，聚焦风险态势分布

　　没有绝对的安全，网站风险态势也并非一成不变，这就要求融合网站安全运维理念的Web漏洞扫描产品能在评估者指定的任意时间周期内，从运维管理的视角，快速根据网站资产、网络环境、新爆漏洞、修补力度、整体态势等关心程度，相应呈现出以漏洞变化的核心风险态势图，紧随网站评估的现实节奏，因地制宜，进行相应跟踪分析和第一时间风险呈现。

　　3.2 大道至简的跨越

　　3.2.1 低门槛学习使用

　　Web漏洞扫描产品在保障专业性扫描的同时，需要具备傻瓜式的扫描配置，除继承原有快速扫描、全局扫描、自定义扫描的模板外，还要能立足于某类新曝出的漏洞进行快速遍历匹配;报表展示方面，能够提供风险仪表盘，来集中展示信息概要，并通过进一步展示明细结果的快捷入口，快速查看所见即所得的图文报表，最终通过全方位详尽的漏洞详情。让评估者无需太多的Web安全知识积淀，无需专业人士的二次解读，就能快速上手，简便操作，做到对网站风险的准确把握，主次分明。

　　3.2.2 集群扫描，突破大规模网站扫描难题

　　传统Web漏洞扫描产品，以安全评估为导向，一般采用独立产品设计。对于大站点或者多站点的漏洞扫描则耗时很长，甚至由于任务量太大而出现扫描异常终止的情况。因此对大规模的站点扫描成为安全运维人员最头疼的事情。

　　在保障现有扫描精度的前提下，融合网站安全运维理念的Web漏扫工具能够基于页面级负载均衡的分布式集群技术，完全打破原有的增加扫描节点后只能在扫描任务间均分的老旧模式，真正做到颗粒度更细的URL页面级，无论对单站点任务、多站点任务都能够进行动态的均衡分配，且通过支持上百个扫描节点的集群，轻松实现大规模网站的扫描能力，同时具备统一的数据接口与上层运维平台紧密对接，进行扫描任务集中管理和报表汇总输出，从而大大缩短扫描时间，加快网站评估进度。

　　3.2.3 一体化修补直通车

　　网站评估者在通过扫描报告，全面了解网站漏洞分布后，在面对下一步如何整改的问题时往往陷入“知而不会改”或者“知而不敢改”的尴尬处境。这就要求新发展的Web扫描产品在扫描报告中除了需突破原有漏洞信息不完整，内容晦涩难懂、修复建议指导性不强的局限外，还要尽量满足与安全加固产品的一体化联动，通过自动修复机制，从专业无误的角度来增强运维方对所采取的网站安全整改手段的信心。近些年市面上已有一些Web扫描产品与主流Web应用防火墙形成一体化联动，让扫描输出的报表成为Web应用防火墙下一步进行Web服务器安全加固的定向策略，但由于扫描报告可能存在的误报，根本无法让整改方对其形成的加固策略完全放心，可接受性较差。如若新发展的Web扫描产品既能具备与安全防护产品达到手动、自动双重联动机制，又能允许整改方对扫描报告中的漏洞清单进行批量可视化验证确认后，任意指定待修补的漏洞对象，从而随需生成精准的防护策略，形成目标系统的虚拟加固补丁，轻松实现无忧修补，让网站运维人员补丁修补的恐惧之感不复存在。

　　4. 结束语

　　Web威胁已成为当前信息安全建设的主要威胁之一，对Web漏洞的发现、跟踪及处理已成为从根本上缓解Web威胁和健壮Web系统的重要手段。而Web漏洞扫描产品通过融合网站安全运维理念，从聚焦风险分布的资产识别、保障业务持续运行的无损式扫描、确保漏洞权威可信的场景全过程可视化重现、聚焦网站风险态势变化的漏洞跟踪机制，实现与网站评估业务的携手发展，紧密相连。同时配以大道至简的用户体验，让其在大规模网站评估和快速整改方面，轻松消除愈发严格的检查制度所带来的忧虑，助Web安全评估工作一臂之力。