近年来,随着互联网技术的不断发展,Web应用系统如雨后春笋般大规模涌现。但当Web应用系统被广泛应用且蕴含经济价值愈发凸显的同时,却因其互联、开放等特性,更容易遭受黑客攻击,因此也面临着漏洞威胁。
Web漏洞扫描UWS(爬虫单次)服务是UCloud与绿盟科技合作开发的一种能远程通过爬虫方式进行网站漏洞扫描的服务,客户无需采购任何Web应用扫描产品,即可获得网站的漏洞态势以及每个漏洞的修补建议。
Web应用系统时刻面临漏洞威胁
中国互联网络信息中心(CNNIC)发布的第41次《中国互联网络发展状况统计报告》显示:截至2017年12月,中国网站数量为533万个,中国网民数量达到7.72亿,中国手机网民规模达7.53亿。
然而,在Web应用系统广泛应用于公共领域(政治、经济、文化、国防等)以及个人领域(娱乐、咨询、交流、沟通等)时,Web应用系统因其互联、开放等特性,更容易遭受黑客攻击,也面临着漏洞威胁。从2005年至今,漏洞数量一直居高不下,这也是导致网站等面向互联网的Web应用频繁遭受攻击的重要原因。
网络安全防护利器——漏洞扫描
如果将网络安全工作当作一场战争,漏洞扫描器就是这场战争中,盘旋在终端网络设备上空的“无人侦察机”。它能够及时、准确地检测出信息平台基础架构的安全漏洞,为保证公司业务高效顺利地展开和维护企业信息资产安全提供强力保障。
漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测(渗透攻击)行为。网络安全防护工作是防守与进攻的博弈,是保证信息安全的基石,因此只有及时准确地发现自有信息平台的漏洞和问题,才能在信息安全战争中处于先机,立于不败之地。
Web漏洞扫描UWS(爬虫单次)服务优势明显
网站的风险漏洞是站点被攻击的根源,Web漏洞扫描UWS(爬虫单次)服务支持远程扫描多种系统漏洞和按照国际权威安全机构WASC分类的25种Web应用漏洞,全面覆盖OWASP Top 10 Web应用风险。
1.应用场景
- 例行运维过程中,随时了解当前网站的漏洞情况。
- 在网站应用正式上线前,提供客观的安全数据依据。
客户准备进行网站信息系统安全等级保护的定级和测评,需要进行漏洞扫描。根据信息系统安全等级保护基本要求,能够发现重要的安全漏洞,是申请安全保护等级第二级以上的信息系统应具备的基本安全保护能力。
2.服务特性
- 无需部署、按需使用
Web漏洞扫描UWS(爬虫单次)服务是一款纯SaaS服务,因此客户无需安装任何硬件或软件,无需改变目前的网络部署状况。按需付费的方式,不仅节省客户在采购安全软件或设备方面的投入与维护成本,并且减少安全人员投入,节省客户人力资源成本和管理费用。
- Web应用安全评估全面
Web漏洞扫描UWS(爬虫单次)服务安全评估服务范围包括门户网站、电子商务、网上营业厅等各种Web应用系统,同时其全面性还体现在以下两个方面:
检测范围:
- 覆盖Ajax、Flash、JavaScript等Web2.0环境;
- 支持PHP、ASP、.NET和Java等编程语言;
- 支持IIS、Apache、Nginx、Tomcat等Web服务器;
- 支持各种静态页面(后缀名为:html、htm等)和动态页面(后缀名为:asp、jsp、php、asp、jsp、php、aspx、phtml、shtml、xhtml、do等);
- 支持Flash攻击检测、复杂字符编码、会话令牌管理、多种认证方式(Basic、NTLM、Cookie、SSL等);
- 支持代理扫描,HTTPS扫描等。
风险分析:
- 支持WASC的漏洞分类,以及按照威胁严重性分高、中、低三个等级进行风险分析;
- 支持两个版本的OWASP TOP10漏洞分类和风险分析,为用户提供权威的分析结果;
- 支持风险的对比分析和趋势分析,既可以帮助用户进行多站点差异化风险管理,还可以助其更准确了解、分析站点的历史风险状况和未来的风险趋势,提高风险管理水平。
- 快速稳定扫描
Web漏洞扫描UWS(爬虫单次)服务基于UCloud与绿盟科技的多年安全技术积累,运用智能页面爬取、资源动态调节、代理缓存机制和实时任务调度等技术,可实现对大规模网站的快速稳定扫描。
- 无损漏洞扫描
网站的业务健康性是网站运维中至关重要的指标,而Web漏洞扫描UWS(爬虫单次)服务采用了无损的漏洞扫描技术,因此可以避免该服务对网站业务的健康性造成影响。
- 全方位检测合一
对于攻击者来说,IT系统的很多方面都存在脆弱性。这些方面包括常见的操作系统漏洞、应用系统漏洞、弱口令,也包括容易被忽略的错误安全配置问题,以及违反最小化原则开放的不必要的账号、服务、端口等。
Web漏洞扫描UWS(爬虫单次)服务能够全方位检测系统存在的脆弱性,发现系统的安全漏洞、安全配置问题、应用系统安全漏洞;检查系统存在的弱口令;收集系统不必要开放的账号、服务、端口。最终形成整体安全风险报告,帮助安全管理人员先于攻击者发现安全问题,及时进行修补。
- 丰富的漏洞库
Web漏洞扫描UWS(爬虫单次)服务的漏洞库来自于UCloud安全团队与绿盟科技NSFOCUS安全小组。其中有多位专职研究员进行漏洞跟踪和漏洞前瞻性研究,并且为国际上知名网络安全厂商提供相关漏洞的规则支持。具体规则更新由UCloud安全人员与NSFOCUS安全小组共同负责Web漏洞扫描(爬虫单次)服务的漏洞知识库和检测规则维护,除定期每两周的升级外,重大漏洞的升级在全球首次发现后,两天内便可完成。
依靠专业安全团队的研究积累,Web漏洞扫描UWS(爬虫单次)服务知识库已经有超过10000条系统漏洞信息,涵盖所有主流基础系统、应用系统、网络设备等网元对象。同时,知识库中还提供7大类30多种产品上百个版本系统的配置检查库,并且由绿盟科技作为专业安全厂商为其提供加固修补建议。
安全评估是保障网站安全的重要手段,通过扫描发现目标网站是否存在挂马以及是否存在能被黑客利用的各种漏洞,进而促进网站漏洞修补工作,这是从根本上解决安全问题的有效途径。Web漏洞扫描UWS(爬虫单次)服务以其便捷的配置、全面快速的检测能力和多环境适应性成为企业网站风险管理的得力助手,可广泛应用于政府、等级保护测评机构、公安、运营商、金融、能源、教育、医疗、互联网等行业,适用于针对Web应用的安全检查和风险自评。