资料下载

选择Web应用程序安全扫描程序-使用正确的安全工具的重要性

由管理员撰写。发表于 安全文章

3.75 1 1 1 1 1 评分3.75(8投票)
压住他

选择网络应用程序安全性扫描仪1在信息安全领域中,存在许多工具,从小型开源产品到完整的设备,以保护系统,网络或整个公司基础结构。 当然,每个人都熟悉防火墙的概念-甚至像Swordfish之类的电影和诸如NCIS之类的电视节目也是如此完美地描述了什么是防火墙。 但是在安全范式中还有其他一些也许不太吸引人的实用程序。

各种概念和安全实践-例如使用 复杂的密码短语, 要么 完全避开密码短语,对电子邮件来源的深刻审查,安全的浏览习惯等–在一般员工中,尤其是在每个工作台都有无处不在的计算机中,这种趋势正在日益增长。 但是不幸的是,总的来说,安全仍然被认为是事后的想法,即使缺乏安全会导致看似几乎每天的大量财务损失。

安全工程师常常被认为是不必要的资产,仅仅是任何人都可以做的卑鄙的角色。开发人员,系统管理员甚至是仅仅对Excel公式仅显示适度能力的人都可以认为该角色是另一顶帽子。 无论做出此决定的原因是什么,无论是财务上还是其他方面,后果都可能是严重而持久的。 索尼多次低估了一支强大而装备精良的安全团队的价值,他们选择放弃一支强大的军队来代替规模更小,装备更少,因此更薄但价格更便宜的替代方案。 反过来,这产生了有史以来最大的多重安全漏洞,尤其是单个公司。 如果他们的安全部门更好地配备了正确的工具,那么这些事件很有可能会完全不同。


使用正确的安全工具

那么,什么是“正确的工具”?  Many things. 一支拥有丰富能力的安全工程师团队无疑可以被视为在基础架构中建立强大安全态势的宝贵工具。 但是,更具体地说,也是非常关键的是,那些工程师拥有的资产可能意味着一个从未发生在公司总部门外的次要事件与导致公司为身份支付费用的重大事件之间的区别数百万客户的防盗保护。 这些工具当然会因组织而异,但是它们共同(或者至少绝对应该)共享的一个共同要素是: Web应用程序安全扫描程序.


什么是Web应用程序安全扫描程序?

一个接受任何形式的用户输入(无论是URL值还是提交的内容)的网站都是复杂的。 最终用户提供的内容不仅会改变网站的动态,而且甚至有可能恶意破坏该网站并使其不受保护而瘫痪。 对于用户内容的每种可能性,潜在攻击向量的数量都以接近无穷大的幅度增加。 实际上,安全工程师甚至团队不可能手动解决所有这些可能性,尤其是无法测试已知或未知的漏洞。

Web扫描程序就是为此目的而存在的,它经过精心设计以预测潜在的和常见的攻击方法,然后对其进行暴力测试以发现存在现有漏洞的任何可能性。 而且他们以人类无法手动复制的速度来执行此操作。 出于多种原因,这是至关重要的,即节省时间,全面而全面,并且,如果设计得当,则可以自适应且预测性地尝试即使是最熟练的安全工程师也可能不会想到的聪明方法。 的确,不使用Web安全扫描程序只会对Web应用程序甚至是其背后的公司造成潜在的无法弥补的损害。 但是问题仍然存在:哪种网络扫描仪效果最好?


选项嘉豪-如何选择最适合您的Web扫描仪

选择网络应用程序安全性扫描仪2许多网站和Web应用程序就像人类的指纹,没有两个是相同的。 当然,许多网站可能会使用通用的后端引擎-Wordpress,MVC框架(如Laravel或Ruby on Rails等),但这些引擎之上的层(例如插件或自定义编码的附加项)通常是一个非常独特的集合。 

后端引擎也不是唯一需要关注的部分。 这些层的每一层都可能存在前端漏洞,例如跨站点脚本,不安全地实现的jQuery库,附加组件,对组件的不良清理 AJAX通讯模型, 还有很多。 每一层都提供了另​​一种几乎无限的输入可能性阵列来测试漏洞。

 

网络扫描仪需要能够挖掘这些独特的复杂性,并提供准确,可靠的发现。  误报 可能会浪费工程师的时间,或更糟的是,派遣开发团队进行无用的追踪以执行单元测试,浪费了寻找错误检测到的漏洞的机会。 如果扫描仪是 难以理解 要么 提供很少的了解 在检测到的漏洞中,它带来了挑战性或不受欢迎的实用程序,这些实用程序可能无法使用。  Indeed, a 设计完善的网络安全扫描仪 对于所有方面而言,提供强大的安全性和更好地保护基础结构都是至关重要的。


最后的想法

没有一种完美的解决方案可以解决所有问题并完全保护您的网站,使其变得不可渗透。  此外,Web安全扫描程序将仅与安全工程师或开发人员修复其发现的所有缺陷一样有效。 Web安全扫描程序只是众多步骤中的第一步,但对于强大的安全状况而言,它确实是绝对关键的步骤。

确实,我们一直在回到那个短语– 安全态势 –因为这是一种完全相似的方式来查看Web应用程序,系统和基础结构的安全性,以了解其提供的功能以及良好状态所需的功能:强大的骨干网。 摆姿势倾斜时,聚焦的可见性和障碍物上方路径的清晰视图是不可能的。 没有什么可以像Web安全扫描程序那样清晰地提供这种愿景,并且没有最有效的Web安全扫描解决方案,没有任何一个骨干是完整的。

返回“安全文章”部分

压住他

文章 阅读下一篇:

CCENT / CCNA

思科公司 路由器

  • SSL WebVPN
  • 保护路由器
  • 基于策略的路由
  • 棒上路由器

虚拟专用网安全

  • 了解DMVPN
  • GRE / IPSec配置
  • 站点到站点IPSec 虚拟专用网
  • IPSec模式

思科公司 救命

  • 视窗 8 虚拟专用网客户端
  • 视窗 7的VPN客户端
  • CCP显示问题
  • 思科支持应用程序。

视窗 2012

  • 新的功能
  • 发牌
  • Hyper-V / VDI
  • 安装Hyper-V

的Linux

  • 文件权限
  • Webmin
  • 群组-用户
  • Samba设置