Web漏洞扫描程序通常被视为即席工具。最初,所有漏洞扫描程序都是这种工具,并且当前的开源Web应用程序安全解决方案仍遵循该模型。但是,随着Web技术的复杂性和可用性的大幅增加,临时模型已经过时,无法满足当今大多数企业的安全需求。

为什么您会陷入临时扫描? 为渗透测试人员创建了漏洞扫描程序,将其作为支持工具。最初,渗透测试人员将运行漏洞扫描以快速发现典型漏洞。然后,他们将更深入地了解扫描结果,例如,以确认漏洞,并执行更高级的测试,例如涉及业务逻辑的测试。

最初,大多数企业通常依赖于第三方渗透测试人员(自由职业者或服务公司)的服务。例如,企业将每季度订购一次渗透测试,然后在接下来的三个月中完全不进行安全测试。因此,作为渗透测试的一部分的所有漏洞扫描最初都被视为即席活动,而不是持续的安全措施。

时间已经过去,漏洞扫描程序变得更加先进。当今的专业扫描仪(例如Acunetix)仍然依赖扫描引擎,但功能远不止于此。他们成为自动化漏洞评估和漏洞管理工具。但是,许多购买者仍然习惯于“旧方法”,并且将安全性视为即席练习,因此,他们错过了现代DAST解决方案的关键优势。

没有临时扫描的空间 Acunetix在过去的几年中,不仅仅是漏洞扫描技术发生了很大的变化。这也是对将漏洞扫描程序放置在软件开发生命周期中的位置以及由谁使用此类软件的认识。

如上所述,漏洞扫描器最初是专门为渗透测试人员制作的工具。是的,这也是Acunetix故事的开始!但是,公司很快意识到他们可以在内部运行漏洞扫描,然后外包渗透测试。这样,可以临时执行自动安全测试,但间隔更短,而复杂而昂贵的手动渗透测试则可以更少地执行。那时,漏洞扫描程序已从渗透测试人员手中转移到内部安全团队手中。

最新最好的趋势是将漏洞扫描器完全集成到自动化系统中,从而无需人工手动运行它们。Acunetix这要归功于DevSecOps和SecDecOps,它们将漏洞扫描程序转移到开发人员手中。一旦开发人员将更改提交到应用程序并尝试对其进行构建,则构建和测试管道还包括漏洞扫描,由开发人员获取扫描报告。在理想情况下,由于网络安全技能的不足,内部安全人员如今已成为宝贵的资源,根本不必参与其中。在这种情况下,没有临时扫描的空间。

临时扫描的效率低下 临时扫描,尤其是与手动渗透测试结合使用,可以使您评估当前的Web应用程序安全性。但是,就其本身而言,它绝对无济于事。

执行临时扫描后,您会在某个时间点获得漏洞列表,但不会自动开始消除这些漏洞的过程。使用简单的扫描程序,您必须评估发现的每个漏洞(通常成百上千个)的影响和重要性。然后,您必须手动创建某种过程或管道来修复漏洞,例如,创建Jira问题。现在,想象一下对于拥有许多复杂的Web应用程序和API的企业来说这是多么不可能。

当开发人员将漏洞报告为已修复时,您将无法验证该漏洞是否不再存在或该修补程序是否引入了另一个漏洞。许多开发人员避开了安全性,只会找到逃避特定类型扫描的简单方法,例如,使用简单的筛选器而不是参数化查询来消除SQL注入漏洞。许多被报告为已修复的漏洞实际上根本没有得到修复。

更糟糕的是,在执行下一个临时扫描时,它与先前的扫描没有任何连接。因此,您必须手动将新扫描中的每个漏洞与上一次扫描中的相同漏洞对齐,以查看漏洞是否确实得到修复。这成为另一个不可能的任务。

总而言之,自动漏洞扫描为渗透测试人员节省了一些时间,但是,如果您不是临时进行而是实际使用Acunetix等现代工具的漏洞评估和漏洞管理功能,则可以节省更多时间,不仅适用于渗透测试人员,还适用于安全经理,项目经理,产品和服务所有者以及开发人员。

这不仅是一点收获,而且是一场革命。

如何使用漏洞扫描器 毫无疑问,使用漏洞扫描程序的最佳方法是在软件开发生命周期的早期。越早越好。但是,并非所有企业都能实现这一目标–只有拥有全自动敏捷DevOps管道的企业才能实现。但是,这并不意味着您唯一的选择就是临时选择。有各种各样的有效方法可以将漏洞扫描嵌入到SDLC中。

例如,无论您使用哪种类型的SDLC方法,都可以使Web漏洞扫描作为发行周期的一部分进行连续的过程。如果您根本不自己开发软件,而是依靠诸如WordPress或Magento之类的第三方工具,甚至可以这样做。无论您的软件来自哪里,您都肯定会使用某种暂存环境并在其中执行质量检查测试。如果是这样,则应在其中包括连续扫描。

不要只对每个主要版本进行扫描。而是将其作为分期周期的常规元素。使用漏洞管理和漏洞评估功能以及简单的集成选项,可以为每个超过特定严重性阈值的漏洞自动创建票证。开发人员修改软件并重新部署后,将自动重新测试漏洞。

即使您决定不能延迟发布并且某些漏洞(例如,由Acunetix自动评估为中等或低级的漏洞)也无法立即消除,您仍可以在下一次漏洞发布之前监控其进度释放。您将拥有跨多个发行版的票证,并且可以重新测试是否确实消除了这些漏洞。

用Acunetix做到 市场上还有其他专业的漏洞扫描仪,但是Acunetix具有许多优点。首先,它是技术先驱,它提供了其他大多数产品都无法提供的创新功能,例如,附加的IAST模块。其次,它是市场上最著名的扫描仪-历史最悠久的扫描仪。第三,它是在您的脑海中想到的:一个不仅在寻找简单产品的人,而且还想要真正的安全解决方案的人。要查看这是否是适合您的解决方案,请请求演示。

Acunetix临时扫描是不够的的更多相关文章

  1. 将Acunetix与CircleCI集成

    如果要在DevSecOps中包含Acunetix ,则需要将其与CI / CD系统集成.Acunetix具有针对最受欢迎的CI / CD系统Jenkins的现成集成.但是,您可以使用Acunetix ...

  2. 3000本IT书籍下载地址

    http://www.shouce.ren/post/d/id/112300    黑客攻防实战入门与提高.pdfhttp://www.shouce.ren/post/d/id/112299    黑 ...

  3. 编写自己的Acunetix WVS漏洞扫描脚本详细教程

    AWVS提供了自定义的脚本编程接口,可是网上的资料很少,只有官方的几篇介绍和参考手册,最近研究了一下怎么编写AWVS的漏洞脚本来写一篇简单性的文章 本文以8.0为例,首先呢安装好Acunetix We ...

  4. 【工具测试】Acunetix 11-登录后扫描的功能

    1.概要 在测试的过程中,会给一些只有登录口的测试站点,只有登录后才能访问更多的页面. Acunetix 11的登录后扫描功能摸索了老半天,原来这么神奇.学习了! 2.操作 登录之后 - [Add T ...

  5. 安全扫描工具Acunetix即AWVS_13.x系列破解版Linux & Windows

    本站所提供工具仅供技术学习交流.请勿用于非法行为.否则后果自负. Acunetix,自动化网络应用安全软件的先驱,已经宣布发布Acunetix第13版.新版本提供了一个改进的用户界面,并引入了创新,如 ...

  6. Acunetix引入了Docker支持,扫描统计信息以及将漏洞发送到AWS WAF的功能

    已针对Windows,Linux和macOS发布了新的Acunetix更新:14.2.210503151. 此Acunetix更新引入了Docker支持,针对每次扫描显示的新"扫描统计信息& ...

  7. 漏洞扫描工具acunetix破解安装步骤

    Acunetix 12破解版安装教程 下载地址: 链接:https://pan.baidu.com/s/1jsKkrhOcx_O7ib7FQ6pidw 提取码:pwdj 1.下载软件压缩包文件,首先点 ...

  8. 使用Python来临时启动端口,用来做安全时候的扫描用

    root用户:mkdir /home/aicccd /home/aicc/nohup python -m SimpleHTTPServer 8060 &netstat -antp|grep 8 ...

  9. 什么是 Acunetix 目标知识库

    随着Acunetix 的最新更新,我们引入了一个称为目标知识库的新功能.每次扫描目标时,Acunetix 都会收集并存储有关它的信息.此信息包括构成站点结构的路径.表单的位置及其输入.Web 应用程序 ...

随机推荐

  1. Django 基本操作

    www.djangobook.comdjangobook.py3k.cn 1.django-admin.py startproject mysite2.manage.py startapp blog3 ...

  2. Spring的三种注入

    在学习Spring的过程中,其中一个很重要的就是依赖注入DI,在此总结一下 注入方式有三种: 一.构造器注入 二.Set方式注入(重点) 三.扩展方式注入 构造器注入: a.默认使用无参构造函数创建对 ...

  3. ubuntu16.04服务自启动(弹控制台)

    一.设置root桌面用户登录 1.vim  /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf 在最后一行添加greeter-show-manual-lo ...

  4. Nginx限制访问速率和最大并发连接数模块--limit

    Nginx限制访问速率和最大并发连接数模块--limit Tengine版本采用http_limit_req_module进行限制 具体连接请参考 http://tengine.taobao.org/ ...

  5. node.js学习(5)读写文件(同步异步)

    1 导入文件系统库 # 同步的 读文件 写文件 # 异步 需要用异步处理耗时

  6. JVM-栈帧之局部变量表

    1.栈帧的内部结构 每个栈帧中存储着: 局部变量表(Local Variables) 操作数栈(Operand Stack)(或表达式栈) 动态链接(Dynamic Linking)(或指向运行时常量 ...

  7. deeplearning模型量化实战

    deeplearning模型量化实战 MegEngine 提供从训练到部署完整的量化支持,包括量化感知训练以及训练后量化,凭借"训练推理一体"的特性,MegEngine更能保证量化 ...

  8. CodeGen按钮循环

    CodeGen按钮循环 按钮循环是一个模板文件构造,它允许您迭代CodeGen拥有的按钮信息集合.              在按钮循环中处理的按钮的定义可以来自两个位置之一. 如果基于UI工具箱输入 ...

  9. JSON.parse无双引号如何实现转换

    用JSON.parse()做转换,必须用双引号包起来.但是我用chrome的devtools时,它可以自动转换.于是上网查了一下,原来可以通过replace方法格式化一下.(修改后可以兼容日期格式) ...

  10. centos7 安装 bbr加速

    脚本安装 1 查看内核版本 # [root@os]# uname -a Linux os 3.10.0-1127.13.1.el7.x86_64 x86_64 x86_64 x86_64 GNU/Li ...