产品经理眼中比较理想的WEB扫描器

摘要

漏洞扫描器,也叫VA(Vulnerability Assessment)漏洞评估或者VM(Vulnerability Management)漏洞管理,一直是各大安全厂商产品线中不可或缺的一部分。

本文是以一个产品经理的角度讨论其中更细分的一个领域,WEB漏洞扫描器。所谓产品经理的视角其实是兼顾甲方和乙方的立场。

重要地位

WEB漏洞扫描器主要任务是发现WEB服务存在的安全漏洞,及时通知用户并给出一定的修复建议。

在PDR以及P2DR模型中,WEB漏洞扫描器属于检测环节,是动态响应和加强防护的依据,通过不断地检测和监控网络系统,来发现新的威胁和弱点,通过循环反馈来及时做出有效的响应。

当攻击者穿透防护系统时,检测功能就发挥作用,与防护系统形成互补。在SDL过程中,WEB漏洞扫描器的一大作用就是在上线前在测试环境对业务系统进行安全扫描,发现WEB漏洞。

常见衡量标准

如何衡量一款WEB漏洞扫描器能力是一个非常复杂的问题。Gartner的观点主要是以下几点:

对设备、第三方运营系统及应用的覆盖范围广度; 漏洞签名和相关通告的范围和质量; 扫描机制的速度、可靠性、易管理性和安全性; 分析和报告发现结果的能力; 漏洞数据管理和跟踪能力; 集中化管理和扫描器扫描调配能力。

实践中的不足

市场上的WEB漏洞安全产品十分丰富,从开源工具到免费SaaS产品和商业产品,几十款肯定打不住。我在实际工作中也接触了很多,以比较严格的标准看,或多或少都有以下问题:

对API服务支持差

随着移动APP的快速发展,WEB服务迅速的从单纯的PC浏览型网站迅速过渡到APP API服务和PC浏览型服务并存,甚至部分网站只有APP服务了,主页就是个公司简介加APP下载。

大多数扫描器没有及时适应这种新变化,大量API服务无法被扫描器的爬虫爬到,这导致扫描器几乎失效。

爬虫能力偏弱

即使是针对PC浏览器网站,由于js以及大量前端开源框架的快速发展,传统的爬虫面对静态网页和简单的动态网页尚可,面对较复杂的动态网页就很吃力,出现大量链接爬取漏掉,也直接导致了扫描器的大量漏扫。这两点真正使用扫描器的甲方多有体会的。

自动化能力弱

这里的自动化能力,主要是指自动发现扫描目标的能力。

绝大多数扫描器需要用户手工录入扫描目标,这本来也无可厚非,但是在实际操作工程中,梳理清楚自身IT资产这本身就是一个十分繁重的工作,而且IT资产本身又是个时刻动态变化的,即使是支持批量导入,也不能完全解决问题。

我之前遇到过一个CASE,某个互联网公司测试态势感知类产品时,运行了近一个月后发现一起真实入侵,被入侵的域名OP查了半天也不知道是谁的,最后打了一通电话后才知道是个RD的测试环境,当时的OP离职忘交接了,当时的RD也离职了。

幸亏是测试环境,也没造成啥影响,不过从侧面反映出互联网公司的IT资产管理的困难。

在这种实际情况下,指望手工维护和录入扫描目标,几乎是不可能完成的任务。部分扫描器在安装客户端的情况下可以很好解决这个问题,但是这又引入了另外一个问题,全量部署扫描器的客户端这本身又是个很困难的事情,尤其是在中大型的公司。

缺乏基础的业务安全检测能力

这里的基础业务安全的检测能力,我其实也不太确定是否应该是WEB扫描器来做,不过在它上面做确实挺合适,就是个顺手干的事。所谓的基础业务安全的检测能力指的是:

暴恐,涉黄,涉政,违法广告 主页篡改 黑色SEO

信息孤岛难以融入安全体系

多数扫描器还是信息孤岛一个,与其他安全设备没有协同联动,与内部工作流系统没有对接。

理想中WEB漏洞扫描器

安全技术这几年发展很快,我觉得在未来两年内可以完全做到以下几点还可以算上比较理想的WEB漏洞扫描器,再长点的时间就不敢说了。

多数据源支持

扫描器可以处理的数据最终形态一定是带有参数的url链接,凡事可以转化成url的都可以作为数据源。

传统扫描器依赖用户手工录入域名或者IP,爬虫以域名或者IP作为起点去爬url。总结下可以作为数据源的包括以下几种:

WEB服务器日志 网络流量* WAF/IDS等安全设备日志* 域名/IP

其中基于网络流量来做扫描器数据源,也叫做PVS(Passive Vulnerability Scanner),最早由Tenable网络安全公司开发,后来成为整个网络安全行业的通用功能。由于商标权原因,有些网络安全厂商称之为实时漏洞分析。

大量数据源的接入,可以比较好的解决API服务以及较复杂动态页面爬虫难以爬取的问题。但是这个技术是双刃剑,尤其是在API服务的环境下。

生产实践中,非常多的API服务甚至缺乏基础的鉴权和限速保护,直接使用流量中提取的URL进行扫描,无形之中做了攻击重发,非常容易造成不可预期的结果,比较典型的就是误删/误查/误改业务数据。

黑客视角的自动踩点

黑客视角的自动化踩点其实就是以黑客的角度从外网环境黑盒的去发现攻击面,和人工渗透测试的步骤很类似:

域名:使用字典自动化枚举域名,发现潜在目标,不依赖于手工录入,针对无人管理的被遗忘的系统特别有效

高危服务:最简单的实现就是基于nmap的服务发现即可,非WEB服务不是本文重点,不多说了;类似es,solr,mongodb这类可以发现。

高危框架:一方面是容易出事的str2,dz之类可以直接上去尝试下,一方面是容易被黑的phpmyadmin,zabbix等管理平台可以尝试攻击下。

社工库:这个可以和所谓威胁情报扯上关系,本质上用外界散布的社工库或者github上的明文密码尝试登陆发现的管理后台以及邮件系统,发现潜在的弱密码或者被泄漏的密码。

基础的业务安全检测

支持基础的暴恐,涉黄,涉政,违法广告,黑色SEO检测

更加友好的修复建议以及自主漏洞验证

这个是用户体验的范畴

与其他系统的协同联动

其他安全产品作为WEB扫描器的输入数据源可以提高其扫描发现能力,同样WEB扫描器的扫描结果也可以作为其他安全设备的数据源,比较典型的包括以下几种:

提供给SIEM/SOC,作为IDS产品关联分析的数据源 提供给CMDB,与CMDB做数据互换 提供给WAF/IPS,作为防护设备的阻断策略的参考依据 提供给SOC或者内部工作流系统,与工单或者工作流系统联动

遗憾

即使做到了以上几点,仍然还是有很多漏洞没法在完全不影响业务的情况下很好的去解决,我能够想到的包括以下几点:

存储型xss 上传漏洞 业务逻辑漏洞

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-02-14

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏即时通讯技术

Android P正式版即将到来:后台应用保活、消息推送的真正噩梦

对于广大Android开发者来说,Android O(即Android 8.0)还没玩热,Andriod P(即Andriod 9.0)又要来了。

7073
来自专栏Java架构师学习

一位阿里架构师给每个程序员的小建议

1 想清楚,写清楚,说清楚,才是真正的清楚! 2 多花点时间沟通清楚需求,才能把握正确方向! 3 修复需求错误的成本是代码错误的几十倍! 4 程序员最大的坏习惯...

3518
来自专栏数据和云

YH5:Extended RAC 双活解决方案

题记:对于企业关键业务而言,信息系统可靠性是关键。各行业关键 IT系统因为系统故障导致服务中断的事件仍然时有发生,近年来有一些银行 IT 系统,虽然建有两地三中...

4664
来自专栏程序员互动联盟

为啥安卓手机越用越卡?

根据第三方的调研数据显示,有77%的Android手机用户承认自己曾遭遇过手机变慢的影响,百度搜索“Android+卡慢”,也有超过460万条结果。在业内,An...

3817
来自专栏進无尽的文章

什么才是优秀的网站用户界面设计

1292
来自专栏FreeBuf

手机数据传输安全分析

如今手机已经成了我们离不开的伙伴和知己,它了解我们的日常生活。然而每一天在路上的时候,它都会收集我们的私密信息。平时我们会用它拍照,在社交网络中分享我们的心情;...

21410
来自专栏黑白安全

贴吧利用仅有的信息找到对方信息

楔子: 这次的教程很简单,我是想把这个简单的教程告诫大家,作为一位网民一定要保护好自己的个人信息,周围有许许多多的网民都无所谓自己的个人隐私,殊不知已被藏在黑暗...

1185
来自专栏罗超频道

WIN10初体验:期待越多,失望越大。

我大多数时候使用MacBook,不过WIN10(预览版)的推送还是让我忍不住升级玩玩——它是微软史上首款真正意义上的免费操作系统,正式版将与中国诸多互联网巨头联...

3327
来自专栏腾讯大数据的专栏

海量终端,秒级送达!腾讯云移动推送信鸽后台探秘

终端单连接 消息推送已经成为APP的标配,要推送就要有长连接,而长连接要靠后台服务来维持。传统的推送实现中,每个APP使用一条长连接,启动一个后台服务,你一个我...

2385
来自专栏安恒信息

黑客成功利用IE关键bug,微软承诺发布补丁

微软昨日表示,黑客们正利用存在于IE8与IE9之中尚未修复的某个关键性安全漏洞,目前公司的工程师们正在积极通过更新加以挽救。 与传统处理方式一样,微软对此次威胁...

2885

扫码关注云+社区

领取腾讯云代金券