Cómo elegir un escáner de vulnerabilidad web
A medida que el negocio de los sitios web incluye cada vez más contenido y se vuelve cada vez más importante, el valor del sitio web en sí también aumenta y los problemas de seguridad causados por las vulnerabilidades del sitio web se vuelven cada vez más graves. La evaluación de la calidad del acceso a los sitios web recién abiertos y las columnas recién agregadas, la inspección, la prevención y el control de riesgos de las condiciones operativas diarias de los sistemas de los sitios web se han convertido en elementos clave en las inspecciones de seguridad anuales en diversas industrias. Como personal de seguridad que implementa inspecciones periódicas, existe una necesidad urgente de elegir un excelente producto de escaneo de sitios web para realizar inspecciones de evaluación de vulnerabilidades web eficientes y exhaustivas. Sin embargo, cómo elegir un producto verdaderamente práctico se ha convertido en un problema complicado.
Ventajas y desventajas de las soluciones comunes de escaneo web
Hay muchos productos comunes que admiten soluciones de escaneo web. Los más familiares son los escáneres de sistema todo en uno con módulos de escaneo web integrados. , el software de escaneo de código abierto que se puede descargar de forma gratuita en línea y los productos de escaneo web independientes que acaban de surgir en los últimos años pueden realizar escaneos de seguridad web y descubrimiento de vulnerabilidades hasta cierto punto. Entonces, cuando nos enfrentamos a una variedad tan deslumbrante de opciones, la forma de distinguir e identificar las diferencias en detalle debe basarse estrictamente en las necesidades reales y, en última instancia, tomar el mejor criterio.
Un escáner de sistema todo en uno generalmente integra escaneo de host, verificación de configuración, escaneo web y escaneo de contraseñas débiles. Es un producto multifunción potente y completo. Sin embargo, el alto grado de encapsulación del todo en uno significa que al realizar un análisis de seguridad, además de no poder asignar todos los recursos informáticos al análisis web, el propio motor de análisis también debe tener en cuenta las compensaciones generales. y afinación. Por el contrario, las aplicaciones web de destino presentan una variedad de tipos, grandes escalas y especificidades operativas. Cuando se enfrenta a sitios web con decenas de miles, cientos de miles o incluso millones de páginas web, este producto todo en uno tiene un rendimiento insatisfactorio y es difícil. de usar.Se siente como un buey tirando de un tren; al mismo tiempo, para realizar una evaluación de escaneo de manera eficiente, debe tener la capacidad de identificar rastreadores de enlaces web altamente concurrentes y hacer juicios lógicos sobre las interacciones de los complementos web. llevó a la incompetencia de los escáneres todo en uno en términos de escaneo web y experiencia de rendimiento. El efecto es mediocre y las ventajas no son sobresalientes.
Aunque el software de escáner web de código abierto en Internet es completamente gratuito y puede encontrar información básica sobre vulnerabilidades, es completamente incapaz de descubrir nuevas vulnerabilidades web la primera vez y de rastrear, analizar y parchear las tendencias de vulnerabilidad. Capacidad de apoyo posterior. Además, existen demasiadas deficiencias inherentes en términos de diseño humanizado y bajo umbral de aprendizaje, y su rendimiento y estabilidad están lejos del software comercial.
Frente a los productos similares anteriores, estamos confundidos por las diversas limitaciones de los requisitos del escenario de escaneo web. Estamos muy contentos de ver los productos de escáner web que se han hecho famosos en los últimos años. Como herramienta de evaluación automatizada, realiza un descubrimiento de URL en profundidad y un análisis exhaustivo de los sistemas de aplicaciones web basándose en políticas formuladas para encontrar vulnerabilidades de seguridad reales en las aplicaciones web, como secuencias de comandos entre sitios, inyección SQL, ejecución de comandos, cruce de directorios e inconsistencia. Configuración segura del servidor. Los productos de escáner web pueden ayudarnos a comprender correctamente la distribución detallada, la cantidad y la prioridad de riesgo de las vulnerabilidades de las aplicaciones web al generar activamente informes de análisis estadístico y proporcionar sugerencias de mejora potentes y correspondientes para las vulnerabilidades de seguridad descubiertas para referencia en reparaciones posteriores, lo que nos ayuda a estar eficiente. Una herramienta sólida para realizar comprobaciones exhaustivas de evaluación de vulnerabilidades web.
Tres malentendidos sobre los escáneres web
Con respecto a las numerosas marcas de escáneres web que existen actualmente en el mercado, la gente suele ser demasiado parcial y extrema a la hora de evaluar cuáles son mejores y peores. Las principales manifestaciones son las siguientes: Tres malentendidos.
Mito 1: ¡Más es mejor!
Se cree que cuanto más entradas hay en la base de datos de vulnerabilidades, es mejor detectar más vulnerabilidades. Los escáneres web se enfrentan a una gran cantidad de sistemas de aplicaciones diversos. Para mejorar el rendimiento de la detección, a menudo utilizan complementos universales web de alta eficiencia para escanear tantos como sea posible. Ya no se limitan a un sistema de aplicaciones específico. En muchos lugares se han encontrado vulnerabilidades similares en múltiples sistemas de aplicaciones, profundamente agregadas y fusionadas. Al mismo tiempo, si las vulnerabilidades escaneadas que no son falsos positivos son las mismas vulnerabilidades causadas por diferentes parámetros en una determinada página, se resumen y clasifican para que el informe de vulnerabilidad final sea conciso pero no simple, evitando números redundantes y desorden. Por lo tanto, un escáner web que no tiene capacidades de combinación de complementos y solo se basa en una gran cantidad de complementos de sistemas web especializados y una gran cantidad de listas de diversas vulnerabilidades para ganar elogios es inherentemente poco profesional.
Mito 2: ¡Rápido es mejor!
Creo que escanear es rápido y lleva menos tiempo.
La escala de los sitios web se vuelve cada vez más compleja. Durante las inspecciones diarias, esperamos que los escáneres web completen las tareas de escaneo de manera más eficiente. Esto es comprensible, pero la esencia de las inspecciones es descubrir tantas vulnerabilidades con anticipación como sea posible y formular respuestas de seguimiento. plan de reparación lo antes posible. Por lo tanto, cuando se enfrenta al mismo sitio de destino, si el escáner web puede detectar vulnerabilidades más efectivas por unidad de tiempo, la velocidad será realmente buena.
Mito 3: ¡Lo pequeño es mejor!
Pensar que el impacto en el negocio objetivo durante el proceso de escaneo es pequeño es bueno. Esta frase en sí no es un problema, siempre y cuando El escáner web está realizando el proceso de escaneo. El impacto en la respuesta de carga del sistema de destino y la ocupación del ancho de banda del enlace de red es lo suficientemente pequeño, que es lo que a menudo llamamos "escaneo sin pérdidas". Tiene los requisitos previos de un excelente escáner web. Sin embargo, este debe ser un factor clave que sólo puede considerarse bajo la premisa de que las vulnerabilidades web se pueden descubrir en la mayor medida posible si se divorcia de la esencia del producto, es poner el carro delante del caballo.
Cinco criterios de evaluación básicos
Entonces, ¿por dónde deberíamos empezar al evaluar un escáner web? ¿Cuáles son los criterios de evaluación específicos?
Completo: identifica una amplia variedad. de aplicaciones web, integra los complementos generales web más completos y determina la posibilidad de cada vulnerabilidad una por una mediante la identificación integral de la estructura y el contenido del sitio web. En otras palabras, la tasa de detección del escaneo de vulnerabilidades debe ser alta. la tasa negativa debe ser baja para que se pueda generar un informe de escaneo completo y detallado. Esto requiere que admita varios tipos de lenguajes web (php, asp, .net, html), tipos de sistemas de aplicaciones (portales, gobierno electrónico, foros, blogs, banca en línea) y tipos de aplicaciones (IIS) en términos de identificación de aplicaciones web. ., Apache, Tomcat), tipos de componentes de terceros (Struts2, WebLogic, WordPress), etc.; en términos de integración de complementos, admite la clasificación de vulnerabilidades estándar internacional OWASP TOP 10 y las plantillas de clasificación de complementos WASC, lo que permite Plantillas de complementos de escaneo personalizadas y la velocidad de actualización del complemento es la primera vez que se espera.
Preciso: la alta precisión de las vulnerabilidades es un símbolo de la autoridad de un escáner web. El análisis visual puede ayudar a los usuarios a localizar y analizar las vulnerabilidades con precisión. Los falsos positivos son un tema que no se puede evitar con los productos de escaneo. El escáner web utiliza un complemento universal para interactuar lógicamente con cualquier página URL del sitio de destino. Utiliza tecnología de seguimiento visual de vulnerabilidades para determinar y localizar con precisión las vulnerabilidades y proporciona un informe de análisis de rectificación detallado que es fácil de leer y comprender. Además, un buen escáner web debería ser más fácil de usar y permitir que el escáner realice una verificación por lotes manual y automática de las vulnerabilidades una vez descubiertas, garantizando así resultados doblemente más precisos.
Rápido: solo con una velocidad de escaneo rápida podemos hacer frente al tamaño cada vez mayor del sitio web y a las inspecciones más frecuentes del sitio web, y garantizar el progreso. Además de un potente motor de escaneo y una velocidad de escaneo de hasta un millón por día, un escáner web rápido también tiene capacidades de escaneo de clústeres flexibles y se pueden agregar a voluntad para hacer frente fácilmente a los requisitos de tiempo de ciclo de escaneo potencialmente exigentes.
Estable: solo los escáneres web con procesos operativos estables y confiables y un impacto casi nulo en el entorno de destino pueden utilizarse a gran escala en diversas industrias, especialmente aquellas industrias con requisitos estrictos de impacto comercial que serán más populares. Después de todo, nadie puede aceptar un producto de evaluación que cause daño adicional al objetivo. Ya existen en el mercado algunos productos de escáner web que utilizan mecanismos como la exploración periódica de los sistemas de destino, enlaces de red y sus propias cargas de rendimiento para ajustar automáticamente los parámetros de escaneo en función de los cambios dinámicos en la carga del entorno de destino, garantizando así que El proceso de escaneo es suficientemente estable y tiene un impacto casi nulo. Además, a medida que la escala del sitio web continúa expandiéndose, el alcance de las inspecciones continúa expandiéndose, asegurando una ejecución de escaneo y evaluación estadística continua y estable, y tratando de evitar abandonar el progreso del escaneo a mitad de camino, lo que también plantea requisitos de operación de mayor confiabilidad.
Fácil: configuración de interfaz fácil de usar, aprendizaje de informes de bajo costo y sólidas sugerencias de reparación y orientación. Especialmente en términos de detalles de distribución de vulnerabilidades y reproducción de escenarios, los informes de la mayoría de los escáneres web en el mercado requieren una interpretación secundaria por parte del personal de seguridad profesional antes de que los inspectores de operación y mantenimiento de seguridad ordinarios puedan comprenderlos y darse cuenta de que los cientos de páginas de informes son sugerencias importantes. y los próximos pasos específicos para las reparaciones sin duda han creado un alto umbral técnico para los usuarios. Por lo tanto, cómo resolver este problema fácil de leer y usar se ha convertido en un indicador importante para evaluar su calidad.
En resumen, un excelente producto de escáner web debe cumplir estrictamente con la política central de cinco caracteres, que es completo, preciso, rápido, estable y fácil, y lograr un equilibrio integral, para que pueda ser básicamente excelente. Al mismo tiempo, a medida que los requisitos de inspección de sitios web se diversifican cada vez más, si puede venir con algunas características diferenciadas, puede cumplir con los requisitos de escaneo de operación y mantenimiento de seguridad del sitio web de todos en diferentes escenarios, como la recopilación de información básica del sitio web y el seguimiento del cronograma de toda la vulnerabilidad. El proceso y la visualización gradual de vulnerabilidades, la verificación y reproducción de escenas, el parcheo automático a través del tren, etc. definitivamente aumentarán en gran medida la potencia de evaluación de este escáner.