缝隙扫描器,也叫VA(Vulnerability Assessment)缝隙评价或许VM(Vulnerability Management)缝隙办理,一直是各大安全厂商产品线中不行或缺的一部分。本文是以一个产品司理的视点评论其间更细分的一个范畴,WEB缝隙扫描器。所谓产品司理的视角其实是统筹甲方和乙方的态度。
重要位置
WEB缝隙扫描器首要使命是发现WEB服务存在的安全缝隙,及时告诉用户并给出必定的修正主张。在PDR以及P2DR模型中,WEB缝隙扫描器归于检测环节,是动态呼应和加强防护的根据,经过不断地检测和监控网络体系,来发现新的要挟和缺点,经过循环反应来及时做出有用的呼应。当进犯者穿透防护体系时,检测功用就发挥效果,与防护体系构成互补。在SDL过程中,WEB缝隙扫描器的一大效果便是在上线前在测验环境对事务体系进行安全扫描,发现WEB缝隙。
常见衡量规范
怎么衡量一款WEB缝隙扫描器才能是一个十分杂乱的问题。Gartner的观念首要是以下几点:
对设备、第三方运营体系及运用的掩盖规模广度;
缝隙签名和相关布告的规模和质量;
扫描机制的速度、可靠性、易办理性和安全性;
剖析和陈述发现成果的才能;
缝隙数据办理和盯梢才能;
集中化办理和扫描器扫描分配才能。
实践中的缺少
市场上的WEB缝隙安全产品十分丰厚,从开源东西到免费SaaS产品和商业产品,几十款必定打不住。我在实践作业中也触摸了许多,以比较严厉的规范看,或多或少都有以下问题:
对API服务支撑差
跟着移动APP的快速开展,WEB服务敏捷的从单纯的PC阅读型网站敏捷过渡到APP API服务和PC阅读型服务并存,乃至部分网站只要APP服务了,主页便是个公司简介加APP下载。大大都扫描器没有及时习惯这种新改变,很多API服务无法被扫描器的爬虫爬到,这导致扫描器简直失效。
爬虫才能偏弱
即使是针对PC阅读器网站,因为js以及很多前端开源结构的快速开展,传统的爬虫面临静态网页和简略的动态网页尚可,面临较杂乱的动态网页就很费劲,呈现很多链接爬取漏掉,也直接导致了扫描器的很多漏扫。这两点实在运用扫描器的甲方多有领会的。
主动化才能弱
这儿的主动化才能,首要是指主动发现扫描方针的才能。绝大大都扫描器需求用户手艺录入扫描方针,这原本也无可厚非,可是在实践操作工程中,整理清楚自身IT财物这自身便是一个十分深重的作业,并且IT财物自身又是个时刻动态改变的,即使是支撑批量导入,也不能彻底处理问题。我之前遇到过一个CASE,某个互联网公司测验态势感知类产品时,运行了近一个月后发现一同实在侵略,被侵略的域名OP查了半响也不知道是谁的,终究打了一通电话后才知道是个RD的测验环境,其时的OP离任忘交接了,其时的RD也离任了。幸亏是测验环境,也没形成啥影响,不过从旁边面反映出互联网公司的IT财物办理的困难。在这种实践情况下,盼望手艺维护和录入扫描方针,简直是不行能完结的使命。部分扫描器在装置客户端的情况下能够很好处理这个问题,可是这又引入了别的一个问题,全量布置扫描器的客户端这自身又是个很困难的工作,尤其是在中大型的公司。
缺少根底的事务安全检测才能
这儿的根底事务安全的检测才能,我其实也不太确认是否应该是WEB扫描器来做,不过在它上面做的确挺适宜,便是个随手干的事。所谓的根底事务安全的检测才能指的是:
暴恐,涉黄,涉政,违法广告
主页篡改
黑色SEO
信息孤岛难以融入安全体系
大都扫描器仍是信息孤岛一个,与其他安全设备没有协同联动,与内部作业流体系没有对接。
抱负中WEB缝隙扫描器
安全技能这几年开展很快,我觉得在未来两年内能够彻底做到以下几点还能够算上比较抱负的WEB缝隙扫描器,再长点的时刻就不敢说了。
大都据源支撑
扫描器能够处理的数据终究形状必定是带有参数的url链接,凡事能够转化成url的都能够作为数据源。传统扫描器依靠用户手艺录入域名或许IP,爬虫以域名或许IP作为起点去爬url。总结下能够作为数据源的包含以下几种:
WEB服务器日志
网络流量* WAF/IDS等安全设备日志* 域名/IP
其间根据网络流量来做扫描器数据源,也叫做PVS(Passive Vulnerability Scanner),最早由Tenable网络安全公司开发,后来成为整个网络安全职业的通用功用。因为商标权原因,有些网络安全厂商称之为实时缝隙剖析。很大都据源的接入,能够比较好的处理API服务以及较杂乱动态页面爬虫难以爬取的问题。可是这个技能是双刃剑,尤其是在API服务的环境下。出产实践中,十分多的API服务乃至缺少根底的鉴权和限速维护,直接运用流量中提取的URL进行扫描,无形之中做了进犯重发,十分简单形成不行预期的成果,比较典型的便是误删/误查/误改事务数据。
黑客视角的主动踩点
黑客视角的主动化踩点其实便是以黑客的视点从外网环境黑盒的去发现进犯面,和人工浸透测验的过程很相似:
域名:运用字典主动化枚举域名,发现潜在方针,不依靠于手艺录入,针对无人办理的被忘记的体系特别有用
[1] [2] 黑客接单网