web安全检测的两大利器与对比应用

“国家互联网应急中心１０日发布报告称，今年网络安全形势将日益严峻。针对我国互联网基础设施和金融、证券、交通、能源、海关、税务、工业、科技等重点行业的联网信息系统的探测、渗透和攻击将逐渐增多。随着网络新技术、新应用蓬勃发展和三网融合、IPv6、云计算、物联网等技术的试用和推广，新的安全问题将不断出现。”在网上看到这则消息时，我的心里还是紧了一下，安全问题不容忽视，尤其是在网络技术飞速发展的今天，谈到网络安全谈到信息泄露，每个人可能都不会轻松，这是一个大家都必须认真面对和思考的问题。

     安全涵盖的面比较广，包括网络安全、系统安全、数据库安全、WEB安全、程序安全、邮件安全等，可以说安全是一个凌驾于诸多方面上体现出来的整体特性，就像是木桶效应，最短的板决定了盛水的高度。任何一个被忽视的薄弱环节都可能成为潜在的危险而成为入侵者的突破口。在本文中我就WEB安全检测浅谈一下自己的思考，也希望大家各抒己见共同学习。
  

      谈到WEB安全，我们先说一下WEB服务和WEB架构。Web服务是指采用B/S架构、通过Http协议提供服务的统称，这种结构也称为Web架构，随着Web2.0的发展，出现了数据与服务处理分离、服务与数据分布式等变化，其交互性能也大大增强，也有人叫B/S/D三层结构。在Web服务器上有两种服务用数据要保证“清白”，需要重点保护。一是页面文件(.html、.xml等)，这里包括动态程序文件(.php、.asp、.jsp等)，一般存在Web服务器的特定目录中，或是中间件服务器上；二是后台的数据库，如Oracle、SQL Server等，其中存放的数据的动态网页生成时需要的，也有业务管理数据、经营数据。Web服务相对来说开发简单，而开发的团队中各技术人员的水平参差不齐，由于编程不规范、安全意识不强或因开发时间紧张而简化测试等，应用程序的漏洞也非常多。最为常见的就是SQL注入，这是大多应用编程过程中产生的漏洞。
WEB架构附图参考：

互联网能够快速流行得益于Web部署上的简单，开发上的简便，同时网络的普及也带来了WEB应用上的繁荣。随着WEB应用的快速发展，网站在日常生活中已经起到非常重要的作用了，而众多的网站由于存在WEB应用漏洞而遭受到各种攻击，75% 的破坏活动是在应用程序层发生的。例如网站被挂马、SQL注入导致网页被篡改，重要资料被修改或丢失等、网站进黑名单、进而使WEB应用主机成为受人控制的肉鸡等等；而基于上述各种可被人利用的漏洞而言，光靠开发人员努力避免程序出现BUG，已然无法满足需求；因此我们需要通过专门的WEB安全检测工具来进行检测和评估，以进行有效的防御。

   Web 安全检测主要分为两大类，分别是白盒检测和黑盒检测。白盒工具通过分析应用程序源代码以发现问题，而黑盒工具则通过分析应用程序运行的结果来报告问题。那么在实际的项目中如何对WEB安全如何进行检测呢？为了比较快速和方便的进行安全检测，我在项目中用到了两大检测利器，在此给大家做一下对比介绍。

一、IBM WEB  APPSCAN（以下简称 AppScan），它是业界领先的 Web 应用安全检测工具，提供了扫描、报告和修复建议等功能。当然它是一款黑盒检测工具。可以检测出包括SQL注入、跨站脚本、框架钓鱼、网页木马等在内的所有的WEB应用层漏洞，并且能够自动化地帮您完成整个专业性的安全评估工作，生成专业的报告。扫描过程耗费时间较长，但是界面友好，问题信息、咨询和建议都比较到位。它的使用比较简单，我就不再详述了。

二、Acunetix Web Vulnerability Scanner（以下简称 WVS），这也是业界一款WEB漏洞安全扫描工具。通过网络爬虫测试你的网站安全，检测流行的攻击 ,如交叉站点脚本,sql 注入等。当然它是一款黑盒检测工具。扫描速度较之AppScan快一些，针对跨站和注入漏洞扫描效果较好。报告分析没有AppScan的详细和方便。

 

 

 

 

这两款软件都是基于“爬虫”技术来循环扫描的。爬虫技术最早是搜索引擎“发明”的，搜索网站放出N个小“爬虫”，在世界各地的网站上循环扫描，收集网站上的新信息，建立供世界人民查找的数据库，这样大家就可以从Google、百度等搜索门户上搜到你想要的任何东东。

注：所谓“爬虫”就是这样一些进程，按照一定的规则(横向优先搜索、纵向优先搜索)，将网站上所有的页面扫描一遍。

 

   通过以上的两款软件就可以帮助我们在项目正式上线前对WEB进行比较快速和方便的安全检测，进行有针对的安全防范，及时的修复漏洞和加固程序。当然软件不是万能的，安全永远都是相对的，需要我们不断的去学习和了解相关的知识和最新技术并通过实践去运用。

 

     当然也有一些其他的工具软件，也可以比较好的实现WEB的安全检测和防护。比如：网页防篡改产品、 Web 数据库审计产品、WEB防火墙产品等。  在此不做一一介绍了，有兴趣的朋友可以自己研究下。

    千里之堤溃于蚁穴，安全无大小，防患于未然。谨记！

本文出自 “滴水穿石孙杰” 博客，谢绝转载！