MSN中国首页|Outlook邮箱|OfficePLUS微软官方模板
MSN中文网 > 首页 > 手机酷玩 >正文
正文
分享至新浪微 转播到腾讯微博转播到腾讯微博

警惕web应用程序漏洞!

2019-07-25 20:01:22  责任编辑:  出处:

  传统的漏洞扫描工具是基于公开漏洞库的,检测的是已经公开的已知漏洞,所以使用传统的漏洞扫描工具并不能对web应用的安全性进行全面的评估。与第三方软件漏洞不同,因为web应用程序属于定制系统,所以其漏洞基本上属于0day漏洞。如果网站存在安全漏洞,轻则导致网页被篡改、网站被植入木马、信息泄漏等,严重的可能导致资金安全,甚至引发连锁的网络欺诈等恶性事件。

  因为网站的开发者普遍缺乏安全意识,编程过程中容易引入安全问题,同时由于网站的公开性,所以网站很容易吸引黑客的注意,并把它作为攻击的开始或入口。

  这种漏洞目前有两种发现方式,一种是通过代码审计方式,如:Fortify和Checkmarx可以通过对软件安全漏洞和质量缺陷在代码的运行时的数据传递和调用图跟踪来识别应用漏洞;还有一种就是通过渗透测试,如webpecker网站啄木鸟。市面上大多数的web漏洞扫描工具侧重于系统和web组件的补丁更新情况进行识别,这些漏洞通常打补丁就可以解决,而webpecker网站啄木鸟则是侧重于web应用层面的专业级漏扫工具,扫出的漏洞并不能通过打补丁的方式解决,需要根据安全建议,对web应用程序进行有针对性的整改和修复。

  WebPecker系统是北京智恒网安科技有限公司历经十年研发,目前已经升级到7.0的版本,在web应用0day漏洞挖掘方面已经在国内处于领导者地位,目前已经支持SAAS模式,大家自行注册即可使用,没有检测出漏洞不用花任何成本。建议用户利用webpecker网站啄木鸟,从web应用安全角度,对历史的、新发布及即将发布的业务系统进行全面的评估,以确保最小化业务系统的安全风险。尽量不要忽视webpecker网站啄木鸟检测出来的任何漏洞,有时看似几乎毫无风险的漏洞,很可能在一个高水平的黑客眼里恰恰是致命的。

  国外流行的Appscan和WebInspect软件,即便是最便宜的单机版,其价格也不是中小企业能承担的,而且近几年缺乏更新。而webpecker系统提供了多种版本,用户可以根据自己的实际情况按需购买,且更新及时,同时具有较低的漏报率、误报率和重报率,性价比极高。

  再有,webpecker系统增强了认证扫描方式,且配置简单。大多数国内web扫描系统,或者不具备认证扫描功能,或者支持认证扫描但功能较弱且配置复杂,因此扫描结果漏报率较高,并不能对业务系统进行全面的安全性分析。

  另外webpecker的另一个亮点是支持漏洞验证功能,这几乎避免了误报的可能性,检测结果更为准确,报告的价值更突出,和做一次人工深度的渗透测试(普遍都在上万元以上,有些甚至是需要几十万人工费用)是相当的。而web渗透依赖于技术人员的水平高低和渗透当时的状态有关,做一次深度有价值的渗透测试通常会消耗很大的人力物力财力,报告结果也具有随机性,并不能准确地进行评估。因此采用webpecker的方式更为科学,webpecker系统集成了几十位业内专业人士的渗透技能,减少了人为因素差别,最大限度的挖掘web应用漏洞,检测结果更为专业更为全面,报告也比较详尽,应用开发人员一目了然,可以根据报告内容直接修补编程缺陷。因此,可大大提高应用系统的安全性。

7-25-1 - 副本.png

  WebPecker将成为未来国内甚至国际上功能和性能各方面领先的系统,SAAS模式的分布式和资源共享,支持国内数万网站同时进行监测,为国内广大主管机构以及安全测评提供有效支持。

  webpecker部署示意图如下:

7-25-2 - 副本.png

频道推荐
体育/教育
汽车视界 金融财经
数码酷玩
三星Neo QLED 8K电视,和这   在2021年国际消费类电子产品展览会(CES)上,三星在“First Look”…
三星电视:做时代的引领者   家电圈近期最值得期待的看点非三星电视莫属,除了一系列科技大片即视感的VLO…
影创科技集团董事长孙立荣 2019年度商界青年领军者获奖人——爱库存联合创始人冷静女士为孙立颁奖....…
共绘XR文旅蓝图,影创科技 此次战略合作签约仪式意味着双方建立起长期战略合作伙伴关系,影创科技与江西旅游…
南昌市工商联党组书记熊冬 调研组一行在体验 5G+MR 全息智慧教室后对其丰富、直观、立体的教学形式表示赞许…
游戏世界
版权声明 | 网站简介 | 网站律师 | 网站导航 | 广告刊例 | 联系方式 | Site Map
MSN中国(MSN.SH.CN)版权所有,未经授权禁止复制或建立镜像