信息化觀察網(wǎng)

數(shù)據(jù)泄露事件頻發(fā)

近些年來由Web應(yīng)用漏洞導(dǎo)致的數(shù)據(jù)泄露事件頻發(fā)，這往往會讓企業(yè)遭受嚴(yán)重的損失。Web應(yīng)用漏洞大部分是由于開發(fā)人員在編碼過程中考慮不周等原因造成的漏洞，這種漏洞通常是0day漏洞，也是危害最大的漏洞。0day漏洞是指是已經(jīng)被發(fā)現(xiàn)(有可能未被公開)，而官方還沒有發(fā)布相關(guān)補(bǔ)丁的漏洞?？梢院唵蔚睦斫鉃檫@是一個未知的、看不見的漏洞，每一個web應(yīng)用軟件都可能存在0day漏洞。如果有人發(fā)現(xiàn)了此漏洞并對此加以利用進(jìn)行大范圍的攻擊，那么破壞力會相當(dāng)大。每年由0day漏洞引發(fā)的網(wǎng)絡(luò)安全事件充斥在各行業(yè)中，數(shù)據(jù)泄露事件、經(jīng)濟(jì)詐騙、勒索事件等。

0day漏洞之所以殺傷力這么大是因?yàn)樗且环N未知的漏洞，它可以潛伏在系統(tǒng)中不被發(fā)現(xiàn)，一旦被黑客掌握這種漏洞，會引發(fā)何種后果一概不知。再者，由于大多數(shù)的web掃描器依賴的是公開漏洞庫，檢測的是操作系統(tǒng)漏洞和web服務(wù)組件漏洞，這些屬于已知漏洞，這些掃描器無法掃描出0day漏洞，這也就為黑客留下了可以利用的后門。

如何預(yù)防0day漏洞帶來的web安全威脅？

最穩(wěn)妥的辦法就是通過專業(yè)的web掃描工具發(fā)現(xiàn)0day漏洞，再根據(jù)專業(yè)的安全報(bào)告進(jìn)行整改加固。

下圖為某單位近期使用由智恒科技研發(fā)的網(wǎng)站安全應(yīng)用掃描系統(tǒng)WebPecker掃描出的網(wǎng)站漏洞，經(jīng)過深度掃描，發(fā)現(xiàn)高危漏洞20個。

智恒網(wǎng)站安全應(yīng)用掃描系統(tǒng)WebPecker是側(cè)重于web應(yīng)用層面的專業(yè)級漏掃工具，具備深度漏洞檢測能力，系統(tǒng)具有非常低的漏報(bào)率、誤報(bào)率和重報(bào)率。并且使用方便，支持SAAS模式，注冊后即可使用，用戶可按需購買使用，可大大提高用戶的使用體驗(yàn)，從根本上降低了成本。

同時(shí)，WebPecker系統(tǒng)增強(qiáng)了認(rèn)證掃描方式，且配置簡單。大多數(shù)國內(nèi)web掃描系統(tǒng)，或者不具備認(rèn)證掃描功能，或者支持認(rèn)證掃描但功能較弱且配置復(fù)雜，因此掃描結(jié)果漏報(bào)率較高，并不能對業(yè)務(wù)系統(tǒng)進(jìn)行全面的安全性分析。

WebPecker的另一個亮點(diǎn)是支持漏洞驗(yàn)證功能，這幾乎避免了誤報(bào)的可能性，檢測結(jié)果更為準(zhǔn)確，報(bào)告的價(jià)值更突出，和做一次人工深度的滲透測試（普遍都在上萬元以上，有些甚至是需要幾十萬人工費(fèi)用）是相當(dāng)?shù)摹６鴚eb滲透依賴于技術(shù)人員的水平高低和滲透當(dāng)時(shí)的狀態(tài)有關(guān)，做一次深度有價(jià)值的滲透測試通常會消耗很大的人力物力財(cái)力，報(bào)告結(jié)果也具有隨機(jī)性，并不能準(zhǔn)確地進(jìn)行評估。因此采用WebPecker的方式更為科學(xué)，WebPecker系統(tǒng)集成了幾十位業(yè)內(nèi)專業(yè)人士的滲透技能，減少了人為因素差別，最大限度的挖掘web應(yīng)用漏洞，檢測結(jié)果更為專業(yè)更為全面，報(bào)告也比較詳盡，應(yīng)用開發(fā)人員一目了然，可以根據(jù)報(bào)告內(nèi)容直接修補(bǔ)編程缺陷。因此，可大大提高應(yīng)用系統(tǒng)的安全性。