Q＆AWEB漏洞扫描之常见问题

来源：北京兄弟连IT培训学校时间：2019/12/16 8:52:47

根据Gartner的调查数据显示，信息安全攻击有75%都是发生在Web应用而非网络层面上。同时，数据也显示，三分之二的Web站点都相当脆弱，易受攻击。WEB应用安全漏洞扫描，是检测这些安全风险的有效、、直接的方式。通过对发现的漏洞进行修复，从根源上规避WEB应用程序免受黑客攻击影响的风险。

WEB应用安全漏洞扫描就是运用模煳测试技术对WEB应用进行安全测试，发现WEB应用中存在的潜在安全漏洞风险，为保障WEB应用安全提供有效的技术支撑。

兄弟连平台在进行WEB应用安全漏洞扫描服务的过程中整理了一份客户常见问题Q&A，今天就统一来为大家答疑解惑吧。

Q:哪些类型的软件可以进行WEB应用安全漏洞扫描？

A:WEB应用安全漏洞扫描主要针对基于WEB的应用程序软件，即这些软件通常架设在Web服务器上，用户在Web浏览器上发送请求，这些请求使用HTTP协议，经过因特网和企业的Web应用交互，由Web应用和企业后台的数据库及其他动态内容通信。

Q:常见的WEB应用漏洞有哪些？

A:WEB应用漏洞类型有很多，根据着名国际安全组织OWASP发布的OWASP TOP10（WEB应用程序10大风险），常见的10大类型漏洞包括注入、失效的身份认证和会话管理、跨站脚本（XSS）、失效的访问控制、安全配置错误、敏感信息泄露、攻击检测与防范不足、跨站请求伪造（CSRF）、使用含有已知漏洞的组件、未受保护的APIs。浦软平台目前拥有多款专业的商业测试工具，支持各类Web应用的深度漏洞扫描，实现OWASP TOP 10等主流安全漏洞的检测。

Q:进行WEB应用安全漏洞扫描前需要提供哪些主要技术配合？

A:WEB应用安全漏洞扫描是基于WEB路径的遍历扫描，所以基本的需要客户提供被测web应用程序的访问网址，针对一些需要身份认证的WEB应用程序，还需要提供该应用的访问账号和密码，使漏洞扫描在授权的情况下进行，从而更深入的发现更多安全漏洞。

Q:发现漏洞后，如何进行漏洞的修复？

A:在完成WEB应用安全漏洞扫描后，兄弟连平台会向客户提供一份详细的安全测试结果，其中除了包含一些基本测试结果及统计信息外，还包括漏洞的详细描述、修复和改进建议，并向客户提供必要的技术支持，协助客户进行漏洞的修复。

Q:进行WEB应用安全漏洞扫描后，对被测软件是否会有影响？

A:WEB应用安全漏洞扫描在原理上采用模煳测试技术，通过模拟黑客的攻击方法，向被测WEB应用发送大量的、具有攻击性的随机非法请求，从而通过发现应用程序是否异常，来确认应用程序是否存在相关安全漏洞，因此进行WEB应用安全漏洞扫描后可能会对被测软件产生负面影响，建议在实施扫描前，做好相关的风险防范措施，例如在测试环境下进行、在测试前进行备份、准备好足够的网络带宽等。

Q:WEB应用安全漏洞扫描服务是否可以结合其他测试类型一同申请？

A:WEB应用安全漏洞扫描服务可以独立作为一个软件安全测试项目申请，也可以结合浦软平台的其他测试类型一同申请，例如，在申请的软件验收测试项目中，也可以包含WEB应用安全漏洞扫描测试服务。

Q:进行WEB应用安全漏洞扫描是否可享受补贴政策？

A:在兄弟连平台预约“WEB应用安全漏洞扫描测试”注：兄弟连平台现可提供的创新券服务项目有：软件产品登记测试、软件产品鉴定测试、软件产品验收测试、软件产品专项测试（性能、安全、云服务能力评估、等）。

尊重原创文章，转载请注明出处与链接：http://www.peixun360.com/1754/news/127704/违者必究！ 以上就是北京兄弟连IT培训学校 小编为您整理 Q＆AWEB漏洞扫描之常见问题的全部内容。