由于攻击者日益狡猾,定位和测试Web应用的人工方法已远远不够。适当的Web应用扫描方案可帮助企业系统性地发现运行在企业网络中的Web应用,判定这些应用是否易于遭受攻击,还有助于企业理解如何修补漏洞同时又能保护业务。使用当今精确的自动化扫描技术,不管应用数量有多大,企业都可以测试所有Web应用(包括开发中和正在使用的)。那么,企业在选择Web应用扫描方案时需关注哪些特性和功能? 本文重点关注如何选择架构的问题,或可为企业提供选择的最佳方法: 1.Web应用扫描方案是一个软件产品还是一种云服务? 企业安装在网络中的Web应用扫描软件要求企业购得、配置、管理服务器,运行备份和处理补丁更新等问题。
而现……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
由于攻击者日益狡猾,定位和测试Web应用的人工方法已远远不够。适当的Web应用扫描方案可帮助企业系统性地发现运行在企业网络中的Web应用,判定这些应用是否易于遭受攻击,还有助于企业理解如何修补漏洞同时又能保护业务。使用当今精确的自动化扫描技术,不管应用数量有多大,企业都可以测试所有Web应用(包括开发中和正在使用的)。那么,企业在选择Web应用扫描方案时需关注哪些特性和功能?
本文重点关注如何选择架构的问题,或可为企业提供选择的最佳方法:
1.Web应用扫描方案是一个软件产品还是一种云服务?
企业安装在网络中的Web应用扫描软件要求企业购得、配置、管理服务器,运行备份和处理补丁更新等问题。而现代的基于云的Web应用扫描方案(或称软件即服务SaaS)并不要求企业投资购买设备,也不需要持续的更新、备份数据库。这种方案通过浏览器即可使用,并可轻松地扩展从而解决新应用、新用户和位置问题,而且其使用成本也更加可预测。此外,基于云的方案还支持以客观的防篡改的方法来存储数据。
2. Web应用扫描方案可以扫描各种Web应用吗?
当今的Web应用扫描方案应当用于企业应用生命周期的各个阶段(开发过程,测试过程或生产应用过程)。现代的Web应用扫描方案应当可以使用户扫描并跟踪企业的所有应用(内部应用和面向互联网的应用),因而,企业使用一种工具就可以获悉企业所有应用的统一的安全状况。
3.能否多人同时使用Web应用扫描方案?
现代的Web应用扫描系统应当可以同时向不同的人提供不同应用的相关信息。对企业而言,寻找一款易于使用并允许多人同时扫描和报告并且彼此不冲突的Web应用扫描方案是很重要的。
4. Web应用扫描方案如何处理多位置问题?
如何处理多位置是Web应用扫描方案出现差异的重要方面,这有三种方案或技术:
本地产品:公司将Web应用扫描软件安装到内部网络上,用来扫描网络内的应用。这种产品一般会在企业网络较慢的部分或容易拥塞的部分产生瓶颈,或在通过防火墙到达互联网应用时产生瓶颈。
基本型SaaS:有些Web应用扫描方案仅能检查外部的面向互联网的应用,这一点在选择是要注意。
云服务:来自云的现代Web应用扫描方案可以同时扫描多个位置的应用。这些方案相对安全,并使用可远程管理的扫描器(物理设备或虚拟机),企业可将其安装在企业网络的不同部分,因而可以进行内部的高效扫描,并使其对其它系统的影响最小化。
5.企业是否应牺牲防火墙的部分功能?
企业绝不应当为了部署Web应用扫描方案而开放公司防火墙上的特殊端口,因为这样做会破坏企业的安全性。
6. Web应用扫描方案与其它系统集成吗?
Web应用扫描器可以成为其它安全和合规系统的一个关键的安全情报源。企业应当选择可与流行的Web应用防火墙集成的解决方案,当然还要有强健的应用程序编程接口(API)可以与企业的安全信息和事件管理(SIEM)或风险管理(ERM)相集成。
相关推荐
-
被忽视的Web安全漏洞:如何识别和解决?
在Web安全方面,面对各种安全漏洞,IT和安全专业人员通常采取防御措施,而缺少积极主动的措施。
-
渗透测试人员必备技能:实施渗透测试的HTTP方法
本文将讨论一些实施渗透测试时的重要HTTP方法,旨在帮助没有Web应用渗透测试知识的渗透测试人员能够充分利用已有工具,成功地实施端到端的Web渗透测试。
-
SSL采购季(二):如何选购最佳SSL?
如果你的企业有意采购SSL,那么本系列文章可以给一个很好的方向。在之前一篇文章中,我们简要介绍了SSL定义及其工作原理;在本文中,我们将探讨目前各种可用的SSL证书类型以及企业如何选择最佳的SSL。
-
SSL采购季(一):SSL定义及其工作原理
如果你的企业有意采购SSL,那么本系列文章可以给一个很好的方向。在本文中,我们将先简要介绍SSL定义及其工作原理;在下一篇文章中,我们将探讨目前各种可用的SSL证书类型以及企业如何选择最佳的SSL。