网络扫描和报告的最佳方式
2008-09-10 13:25:10 来源:WEB开发网此外,不能单单依赖扫描工具。被发现的漏洞都应改经过首动测试。这就意味着测试者应该试图使用基于漏洞的搜索进入网址,但这个漏洞与存储在扫描工具中的版本不同。像Metasploit之类的工具箱提供了测试者可以使用的存储搜索。
当新的功能添加到网页上时,仅仅需要重新设定扫描指令。如果你正在配置一个新的带有新代码的网络应用程序,应当对其进行扫描。但是如果市场需要改变标志或网页的颜色,或是在主页中重新安排图形,则无须扫描。这些改变几乎不会将新的漏洞带入网址。
网络扫描报告所包含的内容
最后,在测试过所有网址,并发现漏洞之后,测试者需要得出一份可读的报告。扫描工具得出了报告,但是测试者应当考虑将其翻译为用户习惯的模式。当使用一种以上扫描工具时,不同的扫描工具会产生不同的报告格式;或者使用手动测试的自动扫描时,根本没有报告,因此,得出一份格式统一的单一报告的唯一方法是采用一种用户习惯的模式。
报告应当以执行指令总结开头,该总结包括,没能检测到的五个最为严重的漏洞的表格。并且应当将这些漏洞按严重等级降序排列,同时指定一个风险水平,比如高、中或低。这些等级可以为程序开发者提供行动计划,决定优先修补哪个漏洞,如果风险很低,程序开发者就可以决定先暂不处理,待下一次发布时再进行修补。
另一种实现报告具有可读性的方法是采用一系列彩色图标来代表风险等级。在高风险漏洞旁边的红色骷髅图可以引起人们的注意,即使是那些缺乏技术知识的经理也会留意到。
执行指令总结之后,应当有序地列出所有的漏洞,并附有简单介绍,可能带来的威胁,以及摘录小部分令人厌恶的编码。尽量保持所有漏洞描述在一页纸上。如果开发者需要考虑更多的数据或编码,可以在另一份报告中提供。
网络扫描程序成功的关键在于一处扫描到下一处扫描的连贯性。确保扫描范围、扫描工具和报告与你的行业和IT需求一致。改变参数带来的不连贯的后果,会使开发者忙于修补漏洞。此外,这对您的网络安全有害而无益。
更多精彩
赞助商链接