【IT168 技术】随着公众对Web安全的聚焦，越来越多的行业领域如运营商、政府电子政务互动平台、企事业门户网站及教育医疗机构等都已经开始频繁使用扫描器去评估其风险性，以便提前发现潜在的安全隐患，及时安全加固以保障网站业务的正常持续运转。反观扫描器使用群体的变化，已由专业安全人士更多地转向网站安全运维人员，这就给扫描器自身的可用性和易用性提出高要求。而扫描器的核心能力，如何帮助用户快速发现漏洞、识别漏洞并定位漏洞，以及什么样的验证场景可以确定漏洞真实存在就成为亟待解决的首要问题。

　　1. 现状

　　由于Web安全技术功底的薄弱，在网站安全运维人员眼里，现有的扫描器依然显得过于专业。一份扫描报告中，大量显示漏洞存在的URL、弱点参数以及扫描器自身所构造的各种请求等晦涩难懂的内容，常常让安全运维人员不知所云，甚至不得不专请专业人员进行二次解读。而且这种易读性差的扫描报告不能让运维人员第一时间识别出漏洞风险分布并制定相应漏洞的修补计划，从而无法真正贯彻防微杜渐的安全思路，保障网站业务安全可靠地运行。

　　由于受限于目标网站环境的复杂性、漏洞种类的多样性，扫描器或多或少存在误报。为保证漏洞发现的权威性，增强报告内容的可信度，扫描器本身必须能清晰地给出：漏洞是如何被发现的，哪些页面及参数有问题，风险详情如何，有无重现该漏洞发现的场景分析文件，向导式的二次验证等。而如何对发现的漏洞进行权威验证这一点，一直是业界关注的焦点话题。

▲

　　图 1 需要二次解读的扫描报告