网络扫描和报告的最佳方式
2008-09-10 13:25:10 来源:WEB开发网选择一个网址扫描工具
接下来,选择合适的工具。最理想的选择是这样一种工具:易于使用和启动、与网络相兼容、不会降低网络性能(配置较差的扫描工具就会降低网络性能)以及得出可用的报告。扫描工具应该同时能够模拟真正的攻击情景,而不仅仅扫描开发者自己所想象出来的攻击情景。
毕竟,当今网络黑客越来越复杂,从蛮力攻击登录界面到跨站脚本攻击(XSS),现今已经发展为异步JavaScript和XML(Ajax)攻击与Web2.0技术。
市场上一些比较好的工具有:WatchFire Corp公司的AppScan,Hewlett-Packard Co.'s SPI Dynamics group的WebInspect 7.0,Acunetix Ltd.公司的Web Vulnerability Scanner Enterprise,以及Cenzic Inc公司的Hailstorm Enterprise Application Risk Controller (ARC)。每一种工具拥有不同的优点和弱点。一些在检测JavaScript中的漏洞方面比较突出,一些在防止SQL和XSS插入攻击方面比较突出,而另一些在Ajax exploits方面比较突出。
由于大多数使用Ajax 和 Web 2.0的网址都是由多种编程语言编写而成的。如果费用在预算之中的话,使用两种扫描工具并比较其结果不失为一个好方法。除了商业扫描工具,也有一些免费的扫描工具,比如Nikto、N-Stalker Web Application Scanner和 Burp Suite。这些工具也可以和商业工具结合使用。比起颇受争议的商业工具而言,尽管没有商业产品的所有功能,但它们更为实用,而且不仅仅只有测试功能。
扫描测试应当在软件测试阶段进行,即开发之后,生产之前。这样在正式应用之前就有时间来鉴定和解决安全漏洞。测试应当在隔离的网段上进行,来阻止扫描工具“攻击”网址以外某个公司的网络。
当然,扫描工具应当在独立环境下运行——不与压力测试、性能测试或者其它测试同时运行,同时不能在高峰时段运行,可以在午夜或者是周末进行。测试者应当可以扫描到未经认可的工作站和服务器,并且通过合适的改变控制程序来记录其在IT部门的运行情况。如果一个扫描工具减慢了网速,那么至少网络团队人员会知道原因,并且不会对一个假想的攻击产生恐惧。
更多精彩
赞助商链接