1.1.3 采用Web應用漏洞掃描技術的必要性

近幾年來，Web技術和安全產品已經有了長足的進步，部分技術與產品已日趨成熟。但是，單個安全技術或者安全產品的功能和性能都有其局限性，只能滿足系統與網絡特定的安全需求。因此，如何有效利用現有的安全技術和安全產品來保障Web應用系統的安全已成為當前信息安全領域的研究熱點之一。

信息共享與保證安全往往是一對矛盾，在一個自由的網絡環境中，大量的流動信息為一些不法之徒提供了攻擊目標。而且由于形式多樣、終端分布廣、互聯開放的計算機網絡為攻擊者提供了便利，其中大量攻擊者利用Web應用程序的漏洞發起攻擊，給運營商和用戶帶來很大的損失。因此，為保障Web應用程序安全，及時發現并修補漏洞成為一項很重要的工作。Web應用漏洞掃描技術是模仿攻擊者的行為去檢測Web應用程序是否安全。它可以準確地發現Web應用程序中潛在的漏洞，這對于保障網絡安全也越來越重要。因此，對Web應用漏洞掃描技術應用具有重要的意義。

漏洞掃描技術是站在惡意攻擊者的角度去審視系統的安全性，能將其中潛在的風險扼殺在搖籃中，因此是一種比較有效的主動防御技術。通過對漏洞的形成和攻擊原理的研究，可以提前定位應用程序中存在的各種漏洞。在對目標站點進行掃描前需要先設置目標站點及各種運行參數，然后啟動掃描器，一旦發現某些頁面包含特定的漏洞，掃描器會將該漏洞的詳細信息保存下來并呈現在報表中，最后自動形成對目標站點的檢測報告。這樣可以讓網站管理員和網站開發人員通過掃描特定的站點和相關網頁后知曉自己頁面的潛在威脅。Web應用漏洞掃描產品非常有價值，能夠盡早幫助開發者發現問題，在網站發布前，就將所掃描到的漏洞全部修復，這樣可以大大減小由于應用程序漏洞而造成的損失和破壞。

目前主要是通過網絡防火墻、Web應用防火墻等安全產品來解決Web應用所帶來的安全問題，但是它們都存在局限性。

（1）網絡防火墻主要用于防外。

（2）網絡防火墻無法阻止對服務器合法開放的端口的攻擊（如80、443端口）。

（3）應用防火墻的部署方式大多為代理和端口鏡像模式，HTTP流量都需經過應用防火墻，本身對Web應用可用性造成一定影響。

（4）應用防火墻只能防護已知漏洞，對于0day漏洞幾乎無法防護。

（5）防火墻抵御攻擊的能力存在局限性，實際漏洞仍然存在，不能徹底杜絕。

對付破壞應用系統企圖的理想方法當然是建立一個完全安全的沒有漏洞的Web應用系統，但從實際而言，這根本不可能。美國威斯康星大學的Miller給出一份有關現今流行操作系統和應用程序的研究報告，指出軟件中不可能沒有漏洞和缺陷。

因此，一個實用的方法是，建立比較容易實現的安全應用系統，同時按照一定的安全策略建立相應的安全輔助系統，漏洞掃描器就是這樣一類系統。就目前系統的安全狀況而言，系統中存在著一定的漏洞，因此也就存在著潛在的安全威脅，但是，如果我們能夠根據具體的應用環境，盡可能早地通過Web應用漏洞掃描來發現這些漏洞，并及時采取適當的處理措施進行修補，就可以有效地阻止入侵事件的發生。雖然亡羊補牢十分可貴，但是對于“不怕一萬，就怕萬一”的關鍵業務來說，未雨綢繆才是理想境界。