1.Web安全面临的挑战
Web网站是互联网上最为丰富的资源呈现形式,由于其访问简单、扩展性好等优点,目前在资讯、电子政务、电子商务和企业管理等诸多领域得到了广泛的应用。与此同时,Web网站也面临着数量庞大、种类繁多的安全威胁,操作系统、通信协议、服务发布程序和编程语言等无不存在大量安全漏洞。
2014年,CNVD收录新增漏洞9163个,2013年,CNVD全年收录通用软硬件漏洞7854个。根据影响对象的类型,漏洞可分为:操作系统漏洞,应用程序漏洞,Web应用漏洞,数据库漏洞,网络设备漏洞(如路由器、交换机等),安全产品漏洞 (如防火墙、入侵检测系统等)。
2014年CNVD收录漏洞按影响对象类型分类统计
2.用户面临的漏洞风险
1)大多数Web系统设计,只关注正常应用,未关注代码安全。
Web应用系统通常是供应商针对不同业务目标进行定制化开发,并以“源代码”的形式交付,依靠各种应用环境进行动态解析以实现特定功能。因此,对于 Web漏洞而言,供应商往往也很难提供类似于Windows漏洞补丁的通用补丁,这给Web应用系统的维护带来了新的挑战。
2)Web服务器及网络设备存在漏洞
2014年,CNVD共收集整理了2394个高危漏洞,涵盖Microsoft、Adobe、IBM、Cisco、Google、WordPress、Oracle、Mozilla、Apple、IBM等厂商的产品。
3)安全事件频繁发生
随着漏洞越来越多的发现及利用,网站安全事件的发生也越来越频繁。
2014年 网络安全事件接收数量月度统计
4)网站安全检测带来的通报
为了加强网络安全信息化建设,建立了一些网站监察单位,会对网站进行周期性检测,如发现漏洞会对该网站单位通报批评。
3.WebRAY一体化漏洞扫描解决方案
远江盛邦一体化漏洞扫描系统是WebRAY技术团队多年深入研究当前各类Web攻击手段(如网页挂马攻击、SQL注入漏洞、跨站脚本攻击等)和系统漏洞检测的经验结晶。通过本地检测技术与远程检测技术相结合,对您的网站进行全面的、深入的、彻底的风险评估,综合性的规则库以及业界最为领先的智能化爬虫技术及SQL注入状态检测技术,检查系统中存在的弱点和漏洞,速度更快,结果更准确。
远江盛邦一体化漏洞扫描系统简称RayScan,是基于WebRAY的RayOS系统开发,集Web漏洞扫描和系统漏洞扫描予一体的专业漏洞扫描系统。
全方位多层次检测网站安全漏洞
针对网站代码进行本地安全检查
多年积累的丰富的网马特征库
高效的网页爬虫技术
基于状态扫描的SQL注入扫描技术
基于状态比较的注入验证技术
基于模糊匹配的管理入口检测技术
自定义的检测库文件
丰富的漏洞知识资源储备
覆盖面最广的漏洞库
全方位的网络对象支持
漏洞信息的准确识别和判断
强有力的扫描效率保证
多样化的结果报表呈现
4.方案优势
1)使用RayScan对漏洞进行评估,提前发现Web应用系统中隐藏的漏洞,根据评估工具给出详尽的漏洞描述和修补方案,指导维护人员进行安全加固,防患于未然。
2)使用RayScan对操作系统或网络设备进行漏洞扫描,了解最新的漏洞情况,主动联系厂商进行修补,降低漏洞带来的风险。
3)设置周期性自动扫描,做好安全预警,避免检测机构检测到漏洞对单位的通报。