因为网站的开发者普遍缺乏安全意识,编程过程中容易引入安全问题,同时由于网站的公开性,所以网站很容易吸引黑客的注意,并把它作为攻击的开始或入口。
这种漏洞目前有两种发现方式,一种是通过代码审计方式,如:Fortify和Checkmarx可以通过对软件安全漏洞和质量缺陷在代码的运行时的数据传递和调用图跟踪来识别应用漏洞;还有一种就是通过渗透测试,如webpecker网站啄木鸟。市面上大多数的web漏洞扫描工具侧重于系统和web组件的补丁更新情况进行识别,这些漏洞通常打补丁就可以解决,而webpecker网站啄木鸟则是侧重于web应用层面的专业级漏扫工具,扫出的漏洞并不能通过打补丁的方式解决,需要根据安全建议,对web应用程序进行有针对性的整改和修复。
WebPecker系统是北京智恒网安科技有限公司历经十年研发,目前已经升级到7.0的版本,在web应用0day漏洞挖掘方面已经在国内处于领导者地位,目前已经支持SAAS模式,大家自行注册即可使用,没有检测出漏洞不用花任何成本。建议用户利用webpecker网站啄木鸟,从web应用安全角度,对历史的、新发布及即将发布的业务系统进行全面的评估,以确保最小化业务系统的安全风险。尽量不要忽视webpecker网站啄木鸟检测出来的任何漏洞,有时看似几乎毫无风险的漏洞,很可能在一个高水平的黑客眼里恰恰是致命的。
国外流行的Appscan和WebInspect软件,即便是最便宜的单机版,其价格也不是中小企业能承担的,而且近几年缺乏更新。而webpecker系统提供了多种版本,用户可以根据自己的实际情况按需购买,且更新及时,同时具有较低的漏报率、误报率和重报率,性价比极高。
再有,webpecker系统增强了认证扫描方式,且配置简单。大多数国内web扫描系统,或者不具备认证扫描功能,或者支持认证扫描但功能较弱且配置复杂,因此扫描结果漏报率较高,并不能对业务系统进行全面的安全性分析。
另外webpecker的另一个亮点是支持漏洞验证功能,这几乎避免了误报的可能性,检测结果更为准确,报告的价值更突出,和做一次人工深度的渗透测试(普遍都在上万元以上,有些甚至是需要几十万人工费用)是相当的。而web渗透依赖于技术人员的水平高低和渗透当时的状态有关,做一次深度有价值的渗透测试通常会消耗很大的人力物力财力,报告结果也具有随机性,并不能准确地进行评估。因此采用webpecker的方式更为科学,webpecker系统集成了几十位业内专业人士的渗透技能,减少了人为因素差别,最大限度的挖掘web应用漏洞,检测结果更为专业更为全面,报告也比较详尽,应用开发人员一目了然,可以根据报告内容直接修补编程缺陷。因此,可大大提高应用系统的安全性。
WebPecker将成为未来国内甚至国际上功能和性能各方面领先的系统,SAAS模式的分布式和资源共享,支持国内数万网站同时进行监测,为国内广大主管机构以及安全测评提供有效支持。
webpecker部署示意图如下: