@秒灵儿
2年前 提问
1个回答

web漏洞扫描器在实践使用中有哪些不足

Simon
2年前

web漏洞扫描器在实践使用中有以下不足:

  • 对API服务支持差:随着移动APP的快速发展,Web服务迅速地从单纯的PC浏览型网站过渡到APP API服务及PC浏览型服务并存,甚至部分网站只有APP服务了,主页就是个公司简介加APP下载。大多数扫描器没有及时适应这种新变化,大量API服务无法被扫描器的爬虫爬到,这导致扫描器几乎失效。

  • 爬虫能力偏弱:即使是针对PC浏览器网站,由于js以及大量前端开源框架的快速发展,传统的爬虫面对静态网页和简单的动态网页尚可,面对较复杂的动态网页就很吃力,出现大量链接爬取漏掉,也直接导致了扫描器的大量漏扫。这两点真正使用扫描器的甲方多有体会。

  • 自动化能力弱:这里的自动化能力,主要是指自动发现扫描目标的能力。绝大多数扫描器需要用户手工录入扫描目标,这本来也无可厚非,但是在实际操作过程中,梳理清楚自身IT资产这本身就是一个十分繁重的工作,而且IT资产本身又是时刻动态变化的,即使是支持批量导入,也不能完全解决问题。部分扫描器在安装客户端的情况下可以很好地解决这个问题,但是这又引入了另外一个问题,全量部署扫描器的客户端这本身又是个很困难的事情,尤其是在中大型的公司。

  • 缺乏基础的业务安全检测能力:这里的基础业务安全检测能力,我其实也不太确定是否应该由Web扫描器来做,不过在它上面做确实挺合适,就是个顺便的事。所谓的基础业务安全检测能力指的是暴恐、涉黄、涉政、违法广告、主页篡改、黑色SEO等。

  • 信息孤岛难以融入安全体系:多数扫描器还是信息孤岛一个,与其他安全设备没有协同联动,与内部工作流系统没有对接等问题。