3. 重启Web应用漏洞扫描之门
3.1 运维理念的融合
3.1.1 网站资产识别,聚焦风险分布
在保持原有任务管理的基础上,融合网站安全运维理念的Web漏洞扫描产品必须具备网站资产识别能力。首先,通过只爬不扫,全面搜集目标站点信息,如网站规模大小、类型属性、资产映射表等基本信息,为下一步制定详细扫描策略提供参考性依据;其次,通过多级用户权限的分离,让不同角色的评估者从各自运维管理的视角,灵活地依据目标站点的闲时忙时、内容归属等,择时而扫、择目录而扫,进行针对性更强的站点指定扫描,从而满足从时间、角色、IP、域名、URL目录、隶属组织和部门名称的多维统一,更好地诠释扫描任务与当前网站相关资产的清晰对应,让网站安全态势从整体到局部一览无遗,尽显眼底。
3.1.2 无损式扫描,保障网站持续运行
融合网站安全运维理念的Web漏洞扫描产品必须具备无损扫描能力,来尽可能地降低扫描全过程对目标站点的干扰,保障网站业务持续运行。目前这方面的创新技术层出不穷,但简单归纳有如下几方面:
速度自调节。自身设置多个计时器,采取主动探寻机制,分别对目标站点响应、网络链路延时、自身性能负载进行实时监听,并依据其动态曲线变化,自动进行扫描参数的自我修正,来达到扫描速度的智能调节,最大程度地降低原有恒定速度扫描可能对扫描环境造成的过高压力。
不留干扰性代码。采用独创的插件检测机制,通过伪造等同效能的随机字符串替代真实java脚本,通过URL相似度判断让批量页面只做一次页面逻辑扫描,通过已知应用框架识别仅匹配调用专属的插件类型,通过让有逻辑递进关系的插件直接信息共享等方式,一扫网站扫描后残存大量干扰性代码的弊端。
带宽低占用。通过检测算法优化和报文高压缩比,最大程度降低扫描的平均请求、响应次数以及整体报文传输量。同时较低的扫描带宽占用,也增强了其在复杂环境扫描的适应能力,如在ADSL出口带宽苛刻的环境下进行远程扫描时,不会因带宽占用分配的不足导致扫描请求大量超时,严重影响扫描的稳定性和报告结果的准确性。
网站日志关联分析。为了有效降低传统网站爬虫对目标系统的干扰,Web扫描产品还必须具备网站日志关联分析能力。它除了对于一些网站孤链页面能达到传统网站爬虫无法有效爬取的辅助作用外,更重要的是可通过对网站自身因早期访问所产生的日志文件关联分析,直接减少爬虫学习页面的阶段,进入扫描插件的逻辑判断环节,从而既能从整体上大大加速页面定位和扫描时间,又能较多缓解爬虫爬取网站目录时可能造成的网络拥塞和网站资源干扰。
3.1.3 漏洞场景可视化重现
针对需要误报验证的漏洞清单,多数情况下,由于评估人员自身Web渗透测试技能的局限及手工验证大量漏洞的效率低下,让漏洞验证成为评估者极为头疼、望而生畏的一项工作。
因此,融合网站安全运维理念的Web漏洞扫描产品,若能够大大降低漏洞验证时对评估者的高门槛技能要求,针对批量待验证的各种Web漏洞类型,提供傻瓜式一键菜单,直接实现自动验证,免除现有的繁琐和人工之苦。同时,验证过程通过可视化方式进行呈现,让评估者清晰地知晓之前扫描时判断该漏洞存在的标准依据是什么,交互执行时都构造了哪些URL链接和数据参数,实际响应和判断依据的预期结果对比是何结果,甚至整个漏洞的确认过程中,与目标站点所进行的所有请求/响应的原始报文、页面源码都能有对应的说明文件,最后高亮显示存在漏洞的位置,让其一一尽显眼底。而对于验证失败的漏洞,给出具体失败的原因,如站点不可达、参数不全,或用户站点发生变化等情况。
此外,为了尽可能避免网站整改方对于漏洞是否存在的质疑,Web漏洞扫描产品还需提供离线的漏洞场景文件,它采取加密封装的方式,把如上描述的全过程内容细数打包,来方便检查双方彼此进行场景重现、权威取证,并为下一步的一体化漏洞修补提供先决条件。
3.1.4 漏洞跟踪,聚焦风险态势分布
没有绝对的安全,网站风险态势也并非一成不变,这就要求融合网站安全运维理念的Web漏洞扫描产品能在评估者指定的任意时间周期内,从运维管理的视角,快速根据网站资产、网络环境、新爆漏洞、修补力度、整体态势等关心程度,相应呈现出以漏洞变化的核心风险态势图,紧随网站评估的现实节奏,因地制宜,进行相应跟踪分析和第一时间风险呈现。