选择Web应用扫描方案应重视的10个特性

Web应用扫描器通过Web前端与Web应用程序通信，可以自动检查Web应用程序，探测、分析其响应，从而发现潜在的安全问题和架构缺陷。其扫描方式和扫描特性在很大程度上决定着功能是否强大。企业在选择Web应用扫描方案时应考虑的重要特性主要有如下方面：

[[119518]]

自动发现隐藏的应用程序;对应用程序进行分组，以便于扫描和报告;可从几个应用无缝扩展到大量应用;根据用户设置的具体时间进行扫描;使用多种认证形式进入应用;高效地扫描企业网络中不同部分的应用程序;根据最佳操作指南确定漏洞;发现隐藏在应用程序中的恶意软件;帮助安全管理者确定首先修复哪些漏洞;可用于Web应用的各个阶段(开发、测试、生产等阶段);多人互不干扰地同时使用。下面谈几个重要方面。

1. Web应用扫描器可以发现隐藏的Web应用吗?

Web应用程序可能在管理人员并不知情的情况下就出现在企业的网络中，而且还容易被人们忘记。为实现真正的安全，企业需要发现隐藏在环境中的非正式的或未登记的应用。企业应选择能够扫描内部网络又面向互联网的解决方案，并能够发现企业的所有Web应用和分类。

2. Web应用扫描器的准确性如何?

准确性至关重要。遗漏的漏洞会使企业的安全防御体系功亏一篑。相反，一些假情报(或 “似是而非”的情报)可能会浪费企业的IT资源。因此，企业可使用代表本企业技术和环境的应用程序测试一下Web应用扫描器的准确性。

3. Web应用扫描器可扩展吗?

随着时间的推移，企业的Web应用会越来越多。而大型企业应当关注能够快速高效地处理分布在多个位置的大量应用程序的Web应用扫描器。

4. Web应用扫描器能够同时管理和扫描多个应用程序吗?

高级的Web应用扫描器可以使管理员配置、扫描、报告多个应用程序，企业可以连续性地管理所有Web应用程序的安全性。

5. Web应用扫描器能够自动扫描或连续扫描吗?

虽然Web应用扫描器应当给用户人工启动扫描的功能，但其真正的力量来自自动化。用户(企业)应当能够在一个位置就可以配置所有应用程序的扫描，并且可以根据设置的计划(如在维护期间)来开始和结束扫描。

6. 用户之间可以分配应用程序的控制吗?

现代的Web应用扫描器的设计应使不同的用户独立地控制和查看自己的应用程序的扫描和报告。

7. Web应用扫描器可以查找哪些漏洞?

最佳的Web应用扫描器使用行业标准的漏洞源，如使用OWASP(开放Web应用安全项目)、WASC(Web 应用程序安全联盟)等标准的漏洞源。企业应关注那些可以自动检测SQL注入、跨站脚本攻击(XSS)、跨站请求伪造(CSRF)、URL重定向等风险的解决方案。

8. Web应用扫描器可以使用身份验证进行更深入的扫描吗?

许多应用程序要求用户登录才能使用其全部功能。为更有效地测试这种应用程序，Web应用扫描器应当能够像用户一样登录，当然，其登录形式可以是多样化的，如可通过一个简单的表单，或一个多步骤的交互，或是通过另一种认证机制。最佳的方案就是用户简单地提供一个用户名和口令扫描方案就可以在需要时自动扫描。如果这种方法不可行，高级扫描器还可以记录用户的登录，然后重新实施扫描。

9. Web应用扫描器可以扫描应用程序中的恶意软件吗?

攻击者常常将恶意软件上传到合法的应用程序，其目的是为了感染其它用户。企业选择的扫描方案应当可以探查恶意内容(特别是那些可能被传统的基于特征的防御系统遗漏的零日攻击)。

10. Web应用扫描器可以保护扫描结果吗?

企业应确保扫描方案可以将漏洞数据存放在远离用户的地方，以防止用户的破坏，例如，放到云中，以便于未来的审计。