近些年来由web应用漏洞导致的数据泄露事件频发,这往往会让企业遭受严重的损失。web应用漏洞大部分是由于开发人员在编码过程中考虑不周等原因造成的漏洞,这种漏洞通常是0day漏洞,也是危害相当大的漏洞。0day漏洞是指是已经被发现(有可能未被公开),而官方还没有发布相关补丁的漏洞。可以简单的理解为这是一个未知的、看不见的漏洞,每一个web应用软件都可能存在0day漏洞。如果有人发现了此漏洞并对此加以利用进行大范围的攻击,那么破坏力会相当大。每年由0day漏洞引发的网络安全事件充斥在各行业中,数据泄露事件、经济诈骗、勒索事件等。
0day漏洞之所以杀伤力这么大是因为它是一种未知的漏洞,它可以潜伏在系统中不被发现,一旦被黑客掌握这种漏洞,会引发何种后果一概不知。再者,由于大多数的web扫描器依赖的是公开漏洞库,检测的是操作系统漏洞和web服务组件漏洞,这些属于已知漏洞,这些扫描器无法扫描出0day漏洞,这也就为黑客留下了可以利用的后门。
那么,有什么办法能够预防0day漏洞带来的web安全威胁?
最稳妥的办法就是通过专业的web扫描工具发现0day漏洞,再根据专业的安全报告进行整改加固。
下图为某单位近期使用由智恒科技研发的网站安全应用扫描系统webpecker扫描出的网站漏洞。经过深度扫描,发现高危漏洞20个。
智恒网站安全应用扫描系统webpecker是侧重于web应用层面的专业级漏扫工具,具备深度漏洞检测能力,系统具有非常低的漏报率、误报率和重报率。并且使用方便,支持saas模式,注册后即可使用,用户可按需购买使用,可大大提高用户的使用体验,从根本上降低了成本。
同时,webpecker系统增强了认证扫描方式,且配置简单。大多数国内web扫描系统,或者不具备认证扫描功能,或者支持认证扫描但功能较弱且配置复杂,因此扫描结果漏报率较高,并不能对业务系统进行全面的安全性分析。
webpecker的另一个亮点是支持漏洞验证功能,这几乎避免了误报的可能性,检测结果更为准确,报告的价值更突出,和做一次人工深度的渗透测试(普遍都在上万元以上,有些甚至是需要几十万人工费用)是相当的。而web渗透依赖于技术人员的水平高低和渗透当时的状态有关,做一次深度有价值的渗透测试通常会消耗很大的人力物力财力,报告结果也具有随机性,并不能准确地进行评估。因此采用webpecker的方式更为科学,webpecker系统集成了几十位业内专业人士的渗透技能,减少了人为因素差别,挖掘web应用漏洞,检测结果更为专业更为全面,报告也比较详尽,应用开发人员一目了然,可以根据报告内容直接修补编程缺陷。因此,可大大提高应用系统的安全性。
leave a comment