 根据Gartner的最新调查,75%的黑客攻击都是发生在Web应用层而非网络层,Web应用安全成为信息安全所面临的重要安全问题。市场上有非常成熟的针对Web应用安全的自动化渗透测试工具,如APPSCAN、WVS等优秀的工具,用户能在不需要很多安全专业知识的情况下就可以很好的使用这些工具,能够发现常见的SQL注入漏洞、跨站脚本漏洞等安全威胁,提高Web应用程序的安全,提升了企业Web站点的安全水平。 但是,自动化Web应用渗透工具有其自身局限性: 一是自动化渗透测试工具普遍采用的爬虫算法在面对采用了Ajax或其他动态网页编程技术的Web站点时,无法做到全面覆盖,渗透测试也就无法做到对网站的全面评估; 二是自动化渗透测试工具对诸如“SQL注入”、跨站点脚本等已知的安全漏洞探测非常高效,但是对新出现的Web安全漏洞无能为力;三是自动化渗透测试工具对单一漏洞探测较为有效,但是无法实现针对多个漏洞的综合利用,无法全面评估多个漏洞综合危害。 针对Web应用自动化渗透测试工具的缺点,建议Web企业在内部采用自动化工具进行渗透测试的同时,要做到: 一是采用多种自动化渗透工具分别对Web应用进行渗透测试,降低单一自动化工具的技术片面性; 二是提高企业安全测试人员技术水平,采取自动化渗透工具和手工测试相结合方法,或半自动化工具进行渗透测试; 三是购买专业安全渗透测试服务,安全测评机构可以以专业性的技术水平提供更全面和更深入的Web应用安全渗透测试。 |
|
|
