1.1.3 采用Web应用漏洞扫描技术的必要性

近几年来，Web技术和安全产品已经有了长足的进步，部分技术与产品已日趋成熟。但是，单个安全技术或者安全产品的功能和性能都有其局限性，只能满足系统与网络特定的安全需求。因此，如何有效利用现有的安全技术和安全产品来保障Web应用系统的安全已成为当前信息安全领域的研究热点之一。

信息共享与保证安全往往是一对矛盾，在一个自由的网络环境中，大量的流动信息为一些不法之徒提供了攻击目标。而且由于形式多样、终端分布广、互联开放的计算机网络为攻击者提供了便利，其中大量攻击者利用Web应用程序的漏洞发起攻击，给运营商和用户带来很大的损失。因此，为保障Web应用程序安全，及时发现并修补漏洞成为一项很重要的工作。Web应用漏洞扫描技术是模仿攻击者的行为去检测Web应用程序是否安全。它可以准确地发现Web应用程序中潜在的漏洞，这对于保障网络安全也越来越重要。因此，对Web应用漏洞扫描技术应用具有重要的意义。

漏洞扫描技术是站在恶意攻击者的角度去审视系统的安全性，能将其中潜在的风险扼杀在摇篮中，因此是一种比较有效的主动防御技术。通过对漏洞的形成和攻击原理的研究，可以提前定位应用程序中存在的各种漏洞。在对目标站点进行扫描前需要先设置目标站点及各种运行参数，然后启动扫描器，一旦发现某些页面包含特定的漏洞，扫描器会将该漏洞的详细信息保存下来并呈现在报表中，最后自动形成对目标站点的检测报告。这样可以让网站管理员和网站开发人员通过扫描特定的站点和相关网页后知晓自己页面的潜在威胁。Web应用漏洞扫描产品非常有价值，能够尽早帮助开发者发现问题，在网站发布前，就将所扫描到的漏洞全部修复，这样可以大大减小由于应用程序漏洞而造成的损失和破坏。

目前主要是通过网络防火墙、Web应用防火墙等安全产品来解决Web应用所带来的安全问题，但是它们都存在局限性。

（1）网络防火墙主要用于防外。

（2）网络防火墙无法阻止对服务器合法开放的端口的攻击（如80、443端口）。

（3）应用防火墙的部署方式大多为代理和端口镜像模式，HTTP流量都需经过应用防火墙，本身对Web应用可用性造成一定影响。

（4）应用防火墙只能防护已知漏洞，对于0day漏洞几乎无法防护。

（5）防火墙抵御攻击的能力存在局限性，实际漏洞仍然存在，不能彻底杜绝。

对付破坏应用系统企图的理想方法当然是建立一个完全安全的没有漏洞的Web应用系统，但从实际而言，这根本不可能。美国威斯康星大学的Miller给出一份有关现今流行操作系统和应用程序的研究报告，指出软件中不可能没有漏洞和缺陷。

因此，一个实用的方法是，建立比较容易实现的安全应用系统，同时按照一定的安全策略建立相应的安全辅助系统，漏洞扫描器就是这样一类系统。就目前系统的安全状况而言，系统中存在着一定的漏洞，因此也就存在着潜在的安全威胁，但是，如果我们能够根据具体的应用环境，尽可能早地通过Web应用漏洞扫描来发现这些漏洞，并及时采取适当的处理措施进行修补，就可以有效地阻止入侵事件的发生。虽然亡羊补牢十分可贵，但是对于“不怕一万，就怕万一”的关键业务来说，未雨绸缪才是理想境界。