0day漏洞,即还没有被发现的漏洞,区别于传统漏洞,传统的漏洞扫描工具是基于公开漏洞库的,检测的是已经公开的已知漏洞,所以使用传统的漏洞扫描工具并不能对web应用的安全性进行全面的评估。与第三方软件漏洞不同,因为web应用程序属于定制系统,所以其漏洞基本上属于0day漏洞。如果网站存在安全漏洞,轻则导致网页被篡改、网站被植入木马、信息泄漏等,严重的可能导致资金安全,甚至引发连锁的网络欺诈等恶性事件。399元扫描一次,没有漏洞不收费,这是webpecker对公众的态度,可想而知,一个0day漏洞可能会带来的损失,用户自行去评估下,尤其是app后台漏洞。
因为网站的开发者普遍缺乏安全意识,编程过程中容易引入安全问题,同时由于网站的公开性导致网站很容易吸引黑客的注意,并把它作为攻击的开始或入口。
这种漏洞目前有两种发现方式,一种是通过代码审计方式,如:fortify和checkmarx可以通过对软件安全漏洞和质量缺陷在代码的运行时的数据传递和调用图跟踪来识别应用漏洞;还有一种就是通过渗透测试,如webpecker网站啄木鸟。市面上大多数的web漏洞扫描工具侧重于系统和web组件的补丁更新情况进行识别,这些漏洞通常打补丁就可以解决,而webpecker网站啄木鸟则是侧重于web应用层面的专业级漏扫工具,扫出的漏洞并不能通过打补丁的方式解决,需要根据安全建议,对web应用程序进行有针对性的整改和修复。
webpecker系统是北京智恒网安科技有限公司历经十年研发的专业级漏扫工具,目前已经升级到7.0版本,目前已经支持saas模式,大家自行注册即可使用,没有检测出漏洞不用花任何成本。建议用户利用webpecker网站啄木鸟,从web应用安全角度,对历史的、新发布及即将发布的业务系统进行全面的评估,以确保最小化业务系统的安全风险。尽量不要忽视webpecker网站啄木鸟检测出来的任何漏洞,有时看似几乎毫无风险的漏洞,很可能在一个高水平的黑客眼里恰恰是致命的。
国外流行的appscan和webinspect软件,即便是最便宜的单机版,其价格也不是中小企业能承担的,而且近几年缺乏更新。而webpecker系统提供了多种版本,用户可以根据自己的实际情况按需购买,且更新及时,同时具有较低的漏报率、误报率和重报率,性价比极高。
web应用漏洞检测的核心技术是对javascript代码的分析能力,它是web应用漏洞检测低漏报率和误报率的根本保障。webpecker系统的爬虫采用浏览器引擎技术分析javascript代码,提供了对动态页面的强大解析能力,对web页面的爬行覆盖率达到了较高水平。同时基于浏览器引擎技术的漏洞分析组件,通过对javascript代码的分析,大大降低了漏洞检测的误报率。
认证扫描能力是web应用漏洞检测的关键指标,这种能力实际上依赖于对页面中javascript代码的解析能力。webpecker系统基于浏览器引擎对javascript代码的解析能力,提供了强大的认证扫描能力,且配置简单。大多数国内web扫描系统,或者不具备认证扫描功能,或者支持认证扫描但功能较弱且配置复杂,因此扫描结果漏报率较高,并不能对业务系统进行全面的安全性分析。
另外webpecker的另一个亮点是支持漏洞验证功能,这几乎避免了误报的可能性,检测结果更为准确,报告的价值更突出,和做一次人工深度的渗透测试(普遍都在上万元以上,有些甚至是需要几十万人工费用)是相当的。而web渗透依赖于技术人员的水平高低和渗透当时的状态有关,做一次深度有价值的渗透测试通常会消耗很大的人力物力财力,报告结果也具有随机性,并不能准确地进行评估。因此采用webpecker的方式更为科学,系统集成了几十位业内专业人士的渗透技能,减少了人为因素差别,深度挖掘web应用漏洞,检测结果更为专业更为全面,报告也比较详尽,应用开发人员一目了然,可以根据报告内容直接修补编程缺陷。因此,可大大提高应用系统的安全性。
saas模式的分布式和资源共享,支持国内数万网站同时进行监测,为国内广大主管机构以及安全测评提供有效支持。
webpecker部署示意图
leave a comment