Web應(yīng)用掃描器通過Web前端與Web應(yīng)用程序通信，可以自動檢查Web應(yīng)用程序，探測、分析其響應(yīng)，從而發(fā)現(xiàn)潛在的安全問題和架構(gòu)缺陷。其掃描方式和掃描特性在很大程度上決定著功能是否強大。企業(yè)在選擇Web應(yīng)用掃描方案時應(yīng)考慮的重要特性主要有如下方面：

[[119518]]

自動發(fā)現(xiàn)隱藏的應(yīng)用程序;對應(yīng)用程序進行分組，以便于掃描和報告;可從幾個應(yīng)用無縫擴展到大量應(yīng)用;根據(jù)用戶設(shè)置的具體時間進行掃描;使用多種認證形式進入應(yīng)用;高效地掃描企業(yè)網(wǎng)絡(luò)中不同部分的應(yīng)用程序;根據(jù)最佳操作指南確定漏洞;發(fā)現(xiàn)隱藏在應(yīng)用程序中的惡意軟件;幫助安全管理者確定首先修復(fù)哪些漏洞;可用于Web應(yīng)用的各個階段(開發(fā)、測試、生產(chǎn)等階段);多人互不干擾地同時使用。下面談幾個重要方面。

1. Web應(yīng)用掃描器可以發(fā)現(xiàn)隱藏的Web應(yīng)用嗎?

Web應(yīng)用程序可能在管理人員并不知情的情況下就出現(xiàn)在企業(yè)的網(wǎng)絡(luò)中，而且還容易被人們忘記。為實現(xiàn)真正的安全，企業(yè)需要發(fā)現(xiàn)隱藏在環(huán)境中的非正式的或未登記的應(yīng)用。企業(yè)應(yīng)選擇能夠掃描內(nèi)部網(wǎng)絡(luò)又面向互聯(lián)網(wǎng)的解決方案，并能夠發(fā)現(xiàn)企業(yè)的所有Web應(yīng)用和分類。

2. Web應(yīng)用掃描器的準確性如何?

準確性至關(guān)重要。遺漏的漏洞會使企業(yè)的安全防御體系功虧一簣。相反，一些假情報(或 “似是而非”的情報)可能會浪費企業(yè)的IT資源。因此，企業(yè)可使用代表本企業(yè)技術(shù)和環(huán)境的應(yīng)用程序測試一下Web應(yīng)用掃描器的準確性。

3. Web應(yīng)用掃描器可擴展嗎?

隨著時間的推移，企業(yè)的Web應(yīng)用會越來越多。而大型企業(yè)應(yīng)當關(guān)注能夠快速高效地處理分布在多個位置的大量應(yīng)用程序的Web應(yīng)用掃描器。

4. Web應(yīng)用掃描器能夠同時管理和掃描多個應(yīng)用程序嗎?

高級的Web應(yīng)用掃描器可以使管理員配置、掃描、報告多個應(yīng)用程序，企業(yè)可以連續(xù)性地管理所有Web應(yīng)用程序的安全性。

5. Web應(yīng)用掃描器能夠自動掃描或連續(xù)掃描嗎?

雖然Web應(yīng)用掃描器應(yīng)當給用戶人工啟動掃描的功能，但其真正的力量來自自動化。用戶(企業(yè))應(yīng)當能夠在一個位置就可以配置所有應(yīng)用程序的掃描，并且可以根據(jù)設(shè)置的計劃(如在維護期間)來開始和結(jié)束掃描。

6. 用戶之間可以分配應(yīng)用程序的控制嗎?

現(xiàn)代的Web應(yīng)用掃描器的設(shè)計應(yīng)使不同的用戶獨立地控制和查看自己的應(yīng)用程序的掃描和報告。

7. Web應(yīng)用掃描器可以查找哪些漏洞?

最佳的Web應(yīng)用掃描器使用行業(yè)標準的漏洞源，如使用OWASP(開放Web應(yīng)用安全項目)、WASC(Web 應(yīng)用程序安全聯(lián)盟)等標準的漏洞源。企業(yè)應(yīng)關(guān)注那些可以自動檢測SQL注入、跨站腳本攻擊(XSS)、跨站請求偽造(CSRF)、URL重定向等風(fēng)險的解決方案。

8. Web應(yīng)用掃描器可以使用身份驗證進行更深入的掃描嗎?

許多應(yīng)用程序要求用戶登錄才能使用其全部功能。為更有效地測試這種應(yīng)用程序，Web應(yīng)用掃描器應(yīng)當能夠像用戶一樣登錄，當然，其登錄形式可以是多樣化的，如可通過一個簡單的表單，或一個多步驟的交互，或是通過另一種認證機制。最佳的方案就是用戶簡單地提供一個用戶名和口令掃描方案就可以在需要時自動掃描。如果這種方法不可行，高級掃描器還可以記錄用戶的登錄，然后重新實施掃描。

9. Web應(yīng)用掃描器可以掃描應(yīng)用程序中的惡意軟件嗎?

攻擊者常常將惡意軟件上傳到合法的應(yīng)用程序，其目的是為了感染其它用戶。企業(yè)選擇的掃描方案應(yīng)當可以探查惡意內(nèi)容(特別是那些可能被傳統(tǒng)的基于特征的防御系統(tǒng)遺漏的零日攻擊)。

10. Web應(yīng)用掃描器可以保護掃描結(jié)果嗎?

企業(yè)應(yīng)確保掃描方案可以將漏洞數(shù)據(jù)存放在遠離用戶的地方，以防止用戶的破壞，例如，放到云中，以便于未來的審計。