什么是主机漏洞扫描
主机漏洞扫描是基于主机模式的一种扫描方法,也是基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测(渗透攻击)行为。通过网络安全漏洞扫描,系统管理员能够发现所维护的 Web 服务器的各种TCP/IP 端口的分配、开放的服务、 Web 服务软件版本和这些服务及软件呈现在 Internet上的安全漏洞。
漏洞扫描器在实践使用中有以下不足:
对API服务支持差:随着移动APP的快速发展,Web服务迅速地从单纯的PC浏览型网站过渡到APP API服务及PC浏览型服务并存,甚至部分网站只有APP服务了,主页就是个公司简介加APP下载。大多数扫描器没有及时适应这种新变化,大量API服务无法被扫描器的爬虫爬到,这导致扫描器几乎失效。
爬虫能力偏弱:即使是针对PC浏览器网站,由于js以及大量前端开源框架的快速发展,传统的爬虫面对静态网页和简单的动态网页尚可,面对较复杂的动态网页就很吃力,出现大量链接爬取漏掉,也直接导致了扫描器的大量漏扫。这两点真正使用扫描器的甲方多有体会。
自动化能力弱:这里的自动化能力,主要是指自动发现扫描目标的能力。绝大多数扫描器需要用户手工录入扫描目标,这本来也无可厚非,但是在实际操作过程中,梳理清楚自身IT资产这本身就是一个十分繁重的工作,而且IT资产本身又是时刻动态变化的,即使是支持批量导入,也不能完全解决问题。部分扫描器在安装客户端的情况下可以很好地解决这个问题,但是这又引入了另外一个问题,全量部署扫描器的客户端这本身又是个很困难的事情,尤其是在中大型的公司。
缺乏基础的业务安全检测能力:这里的基础业务安全检测能力,我其实也不太确定是否应该由Web扫描器来做,不过在它上面做确实挺合适,就是个顺便的事。所谓的基础业务安全检测能力指的是暴恐、涉黄、涉政、违法广告、主页篡改、黑色SEO等。
信息孤岛难以融入安全体系:多数扫描器还是信息孤岛一个,与其他安全设备没有协同联动,与内部工作流系统没有对接等问题。