开始使用站得住脚的Web应用程序扫描
之间有显著差异为传统web应用程序的漏洞扫描和扫描漏洞站得住脚的Nessus,站得住脚的Nessus代理或站得住脚的Nessus网络监控。作为一个结果,站得住脚的Web应用程序扫描(站得住脚的Web应用程序扫描)需要不同的脆弱性评估和管理方法。
站得住脚的Web应用程序扫描应用拓扑
站得住脚的Web应用程序扫描在性能上有了显著的遗产站得住脚的Nessus基于web应用程序扫描策略:
遗留扫描模板站得住脚的Nessus是不符合现代web应用程序框架如Javascript、HTML 5, AJAX,或单页应用程序(SPA)等,这可能会让你与一个不完整的理解您的web应用程序安全的姿势。
站得住脚的Web应用程序扫描提供全面的现代web应用程序的漏洞扫描。其准确的脆弱性最小化假阳性和假阴性,确保安全团队理解真正的安全风险在他们的web应用程序。它提供了安全的外部扫描,以便生产web应用程序不经验中断或延迟。
站得住脚的Web应用程序扫描云扫描仪使用的特定区域。不需要更多的扫描仪,如果您的web应用程序分析范围只包括公开资产。如果web应用程序不公开,你的安装计划取决于web应用程序运行和组织的数据存储需求。
在您开始之前,熟悉站得住脚的Web应用程序扫描基本建立一个部署计划和分析工作流的实现和配置:
![关闭](http://www.yyueer.com/docs/web-app-scanning/Skins/Default/Stylesheets/Images/transparent.gif)
有几种可行的方法来运行一个web应用程序扫描程序基于动态应用程序安全性测试(DAST)技术。大多数程序使用每种方法的组合来满足不同的需求。下面的列表给出了站得住脚的支持扫描模板:
扫描:可用支票的全套包括所有其他预构建模板,除了API扫描。
- 概述:一个简化版的“扫描”模板没有几个活跃的测试来降低其影响和加快扫描。
- 一种总线标准:一个特殊的模板作为认证提供的一部分站得住脚的提供了支付卡行业(PCI)安全标准。只有提交认证使用PCI许可证;否则,这个模板是一个简化版的“扫描”模板。
SSL / TLS:健康检查扫描专注于web服务器加密设置的当前状态和证书状态(例如,证书上的剩余时间)。
配置审计:检测外部合规性审计可视web服务器设置外部审计提供者通常审查评估的健康安全计划。
- API扫描:特殊模板要求更多的配置描述应用程序编程接口(API),这样扫描仪可以成功检测相关漏洞包括一些类似的测试在“扫描”模板添加其他特有的API端点。
![关闭](http://www.yyueer.com/docs/web-app-scanning/Skins/Default/Stylesheets/Images/transparent.gif)
您通常使用“SSL_TLS”或“配置审计”扫描模板来运行一个快速测试——通常只持续几分钟——比深入定期扫描给你的概述表面检查任何证书类型和加密类型等问题与给定站点或一般暴露配置参数没有最佳实践。
不调谐的详细扫描:不需要优化或改进,这种方法使用的“扫描”模板优化检测漏洞,和模拟的驾车风格攻击网站一般经验。这些扫描快速部署和回报价值的增量扫描目标的可见性在使用基本验证,避免明显的扫描错误。然而,这种方法可能会遇到超时(如8小时的违约站得住脚的脆弱性管理小姐),或更复杂的一个网站,需要认证或微调正确扫描。这些缺点与网站论坛,博客,产品体积大,多种语言,或大量的页面。
认证详细扫描:而类似于不调谐的详细的扫描,这种方法使用身份验证。你可以在扫描配置页面或从站得住脚的Chrome扩展。除了带来的好处不调谐的扫描,扫描认证的用户登录测试潜在的问题。站得住脚的建议你从未作为一个管理员用户登录,特别是在生产(见“关键因素”部分)。认证需要创建和维护测试用户帐户和更新任何独特的站点配置。
调整详细的扫描:除了身份验证,您可以使用其他方法来优化扫描速度或复杂性(见“关键因素”)。这些改进包括一个初始时间投资在部署前和可能需要正规的调整取决于网站的更新频率。
![关闭](http://www.yyueer.com/docs/web-app-scanning/Skins/Default/Stylesheets/Images/transparent.gif)
网站限制扫描仪对生产的影响和保持100%的正常运行时间,您可以考虑将扫描使用站得住脚的脆弱性管理API来触发扫描基于每周或每月的构建,或定期预生产的位置。这保护了更多的暴露生产站点可能不同于内部构建。这种扫描方式工作不同程度与最成熟的组织,通常取决于现场临界和资源的可用性。
![关闭](http://www.yyueer.com/docs/web-app-scanning/Skins/Default/Stylesheets/Images/transparent.gif)
组织越来越多地采用api的web应用程序,B2B事务、移动应用程序和自动化场景。你可以使用API来评估这些潜在的风险敞口扫描模板内站得住脚的Web应用程序扫描提供更多的网络风险可见性至关重要。一般来说,高风险和接触是司机为成熟的项目或组织扫描api更频繁。最终,随着安全计划的发展,许多组织主动识别所有脆弱的位置,以确保完全覆盖。这种类型的扫描可以从开发人员需要更多的投入,依靠一个OpenAPI文件提供扫描仪通信端点定义API本身。
![关闭](http://www.yyueer.com/docs/web-app-scanning/Skins/Default/Stylesheets/Images/transparent.gif)
大多数程序开始几扫描基于“SSL_TLS”或“配置审计”模板脆弱性经理熟悉如何建立扫描和检查结果。然后,他们向运行不调谐的扫描使用站得住脚的Web应用程序扫描扫描模板。
超时是常见的当你第一次构建程序。默认扫描完成超时站得住脚的脆弱性管理是八个小时,延长这可能不是“完整”扫描;这可能只是通过优化实现更大的速度。
运行一个程序是可行的基于不调谐的扫描,同时接受超时。许多web应用程序漏洞跨越多个页面相同的漏洞,很可能扫描自动检测漏洞的很大一部分在最初的几个小时。站得住脚的自己的监测可以证实这一点。调整扫描通常由只有一小提高扫描效率和准确性程度和花费更多的时间来改进扫描配置。
最成熟的组织调整扫描在他们最重要的网站,每个网站涉及10 - 20分钟的努力,改善与经营者的经验。一个组织的知识和资源可用性水平可以确定的百分比的网站进行详细的调优。很少看到所有网站调整,尤其是在很多网站的组织。这是由于部分网站的动态特性;他们经常每隔几年大幅扩张或改变,这需要审查的扫描设置适应的发展速度测试网站。
关注流程:开始站得住脚的Web应用程序扫描“扫描”(一套完整的检查)或一个“概述”扫描(更少的检查但低影响)模板。熟悉扫描仪输出和与您的团队合作,将结果合并到你的工作流。发展你的缓解和解决程序。
深入挖掘关键领域:一旦你建立了基线的过程和确定合适的业主组织内的输出扫描仪,开始花时间在更多advanced-tuned扫描来获得更好的可见性最重要的网站。
采取行动:扫描返回大量的数据驱动的组织行动。考虑数据的潜在消费者。开发人员希望细节确定必要的修正和改进。管理必须知道哪些网站贡献最大的风险业务,从而分配资源。安全领导需要一般类别信息OWASP漏洞类别等所有网站专注于特定的漏洞分类。
注意:成立专业服务提供了一个高度推荐快速启动程序为新用户站得住脚的Web应用程序扫描扫描,以帮助建立发展一个新程序的机制。同时,ProServe团队运行车间建立内部流程和初始开发一个更广泛的脆弱性管理项目的目标。这些服务帮助组织获得一个坚实的基础和理解有效的网络安全项目,熟悉产品。联系您的销售代表 (电子邮件保护)
![关闭](http://www.yyueer.com/docs/web-app-scanning/Skins/Default/Stylesheets/Images/transparent.gif)
确定的位置的web应用程序:
公共网站
你可以扫描外部网站站得住脚的脆弱性管理使用基于互联网的站得住脚的Web应用程序扫描或者一个本地扫描仪。
私人网站
你可以扫描内部或内部网web应用程序站得住脚的脆弱性管理使用一个本地站得住脚的Web应用程序扫描扫描仪。
确保扫描仪有网络路由到目标:
如果扫描仪不能到达web应用程序,或不能提供一个输入和检索结果,扫描失败。网络延迟会影响扫描或网络控制等约束条件(例如,基于主机的防火墙、网络防火墙、网络隔离、等等)。总是包括内部web应用程序扫描你的“允许”列表。
扫描仪的位置会影响延迟或服务器响应时间
如果有太多的超时扫描时,会话终止。选择一个扫描仪位于尽可能接近目标。查看网站地图插件附件检查长页面加载时间或超时。这可以发生太多的较慢的服务器上并发测试,一个扫描器不足够近的web应用程序(从我们扫描仪扫描澳大利亚等),或可能导致的网站设置加载时间更长。改变你的扫描仪的位置可以帮助防止调整扫描仪慢下来的高级设置。与我们的直觉相反,减缓扫描速度设置可以加快结果的网站响应缓慢,通过降低利率的查询和添加返回查询的变化较小。
扫描仪作为用户:
扫描仪可以链接,按下按钮,和模拟用户的行为基于它可以访问。在网站上可以有不受欢迎的交互结果的网站发现阶段。例如,如果一个用户可以发送一封电子邮件,扫描仪可以填写表格并按“发送电子邮件”按钮可能不止一次。扫描仪没有任何特定的按钮的背景下行动,除非你教它或排除整个页面或页面元素,以防止它无意中按一个按钮。(有关更多信息,查看我们的文档设置范围)。记住,不包括页面元素来防止这种行为降低扫描的准确性,所以考虑计划定期扫描网站在前期制作这样的。
扫描仪作为许多用户:
使用其默认设置,扫描器可以操作一些用户浏览网站的同时。服务器上有很好的能力,通常从这个活动影响最小。然而,如果服务器的状态未知,你可以de-tune扫描的速度——至少对于第一个测试——警惕任何可能影响网站同步会话。更多细节关于配置这样一个测试,看看高级设置。
定制为每个站点优化;它需要努力,但它是可选的。
定制的调优通常适用于大多数的网站,因为每个web应用程序都是不同的。有独特的结构、站点地图、第三方库、组件和定制代码一起工作。你的投资在调整扫描取决于资源可用性,临界的网站,影响到业务。
调优进行身份验证时,永远不会运行站得住脚的Web应用程序扫描扫描作为web站点管理员在生产中,只有在测试或预生产环境。
运行一个web应用程序扫描与管理员凭证可以创建或删除用户,或执行其他不受欢迎的管理功能。
当优化速度,基本了解你的网站可以帮助加速DAST扫描。
- 查看网站地图插件和相关文件附件。
配置设置:提高网络超时,或降低“马克斯同步请求”和“请求/秒”,如果你经验重要页面超时,或发现高于五秒钟平均页面响应时间在网站地图附件。
考虑加快扫描设置如果你只获得子一秒钟的反应和影响最小的web服务器。
删除处理网站内容:扫描仪不测试网站文本、图像和视频内容,只有输入字段和交互。如果你有多余的页面,例如一个网站,使用多种语言,但相同的底层代码,你只需要测试一个语言版本的网站。
添加更多的二进制除外责任:站得住脚的Web应用程序扫描不“测试”文本、图像或视频和决定排除哪一个文件扩展名。的扫描范围部分提供了一个默认的设置,您可以调整为一个特定的网站。
优先考虑关键的url:识别应用程序的关键部分,比如那些可以返回敏感数据的形式。这些url添加到您的测试的范围,通过“包括”扫描范围节或通过手动爬脚本。你也可以考虑这些网站是否需要在预生产测试。
当优化的复杂性,使用会话录音训练扫描仪。
你可以通过使用站得住脚的Chrome扩展或Selenium IDE,添加内范围部分的扫描配置。在这一过程中,您可以执行手动爬确保扫描仪可以测试一个高度复杂的位置在一个网站。例如,一个网站需要一系列特定的按钮按下,一组特定的正确输入值达到一个页面不能使用其他方式。你可以记录的步骤使扫描仪打回去。
绘制出是否有一个web应用程序防火墙(WAF), web代理,或扫描仪之间的负载平衡器和目标:
Som网络设备可以干扰扫描或完全无效的结果。你可能认为这是足以仅接收结果的“远程”视图由防火墙过滤;然而,它是可能的WAF的内置保护只有防止执行的一个或两个方法的缺陷。获得一个完整的图片网站的真实状态必须做出基于风险的决策。配置您的WAF支持旁路功能允许特定的IP或IP和代理头传入的字符串来证明和授权扫描。可用的站得住脚的扫描仪IP范围列表。
有些网站可能需要特定的浏览器身份:
检查应用程序是否兼容默认用户代理(配置为默认“是/ % v”)。如果没有,它可能需要一个特定的或常见的头从一个标准的浏览器,如Mozilla / 5.0。一些服务器端保护或web应用程序防火墙需要一组特定的结果。在这种情况下,您可以复制一个已知的浏览器的用户代理字符串,可以成功访问该网站。
更大的保健在一开始目标关键场所:
目标站点production-facing,或以任何其他方式重要吗?对业务有什么影响,如果web应用程序扫描导致服务中断?总是先执行扫描的网站以一种受控制的方式,与员工现有或在预生产环境。一旦你理解的性质的网站,你可以完全自动化。
演练和指导产品的更多信息,请访问我们的成立产品教育YouTube频道。这些短,教学视频解释如何充分利用站得住脚的Web应用程序扫描,包括上面提到的身份验证和优化程序帮助您安全的脆弱的web应用程序。
准备部署
确认必要的访问站得住脚的脆弱性管理平台和站得住脚的Web应用程序扫描应用程序。创建用户提供适当的访问权站得住脚的Web应用程序扫描的扫描和查看结果。您可以配置基于角色的访问控制(RBAC)允许用户访问。你必须有行政配置的凭证。
确定你是否需要当地的扫描仪。您可以部署本地或基于云的扫描仪和连接站得住脚的脆弱性管理。您可以使用这些扫描仪在面向internet web应用程序和开发或预生产环境(如果合适的防火墙规则适用)。
的站得住脚的核心+站得住脚的Web应用程序扫描扫描仪支持安装在VMware (.ova), hyper - v (. zip),或物理机器(iso)。您可以部署在本地本地或在一个基于云的开发环境扫描non-internet-facing web应用程序。
你可以下载本地扫描仪在这里。检查你有以下:
- 对外沟通通过端口443访问https://cloud.tenable.com站得住脚的脆弱性管理。
- 入站在端口8000上通过HTTPS访问浏览器访问管理界面。
识别和规划
定义安全目标。为什么我们扫描,我们希望实现的,成功是什么样子?
确定扫描的优先事项。确定哪些目标web应用程序范围内快速扫描和需要更详细的扫描。
确保完全覆盖。确定是否有任何其他web服务器(可能不明),服务,或您需要扫描的应用程序,以及如何找到他们。
文档
- 跟踪所有的事情。生产和管理文档捕获完整细节的部署要求,部署扫描仪资源(如适用),web应用程序所确定的扫描和调优与附带的基本原理应用于扫描。
交流你的发现。建立报告要求识别:收件人、细节,和报告的频率分布。开发人员可能需要pdf,票务系统需要漏洞细节。管理通常更喜欢高级的总结整体暴露和减少风险。
后你准备分析工作流和确定了web应用程序资产的范围,您可以配置和运行扫描这些资产。
站得住脚的建议你第一次运行高级概述扫描来帮助您确定设置配置更深入的扫描。
做下列之一:
-
扫描配置和运行概述:
做下列之一:
- 执行概述扫描,以确定哪些web应用程序的目标站得住脚的Web应用程序扫描扫描在默认情况下,创建一个扫描使用概述扫描模板。
- 执行概述扫描来确定您的web应用程序符合共同安全行业标准,创建一个扫描使用配置审计扫描模板。
请注意:站得住脚的向扫描模板概述扫描不需要身份验证。然而,从这些扫描插件的结果可以帮助你识别类型的凭证您的web应用程序需要更深入的扫描。
- 检查扫描结果,连同你的扫描策略,确定哪些配置设置你想要调整运行标准的web应用程序时扫描。
-
- 启动扫描。
- 视图和分析你的扫描结果:
分析调查结果。
使用网站地图爬作为输入详细的扫描、调优和优化,评估页面超时,时间访问一个页面,错误,或删除重复内容的机会。
回顾“扫描笔记”对于任何更高的优先级问题,这可能为扫描的改进提供建议。
- 进一步优化您的扫描基于业务需求:
示范在扫描调优站得住脚的Web应用程序扫描看到下面的视频:
配置其他功能,如有必要,和完善现有的配置:
- 添加凭证你的扫描:
- 如果扫描必须验证web应用程序服务器的HTTP协议要求的使用方法,添加HTTP服务器的身份验证。
- 如果扫描必须验证web应用程序的web应用程序所需的使用方法,添加Web应用程序验证。
- 下载站得住脚的Web应用程序扫描谷歌Chrome扩展来自动配置硒凭证。
-
提示:每个应用程序是独一无二的。运行扫描和分析结果显示技术,帮助您扫描最高效地运行,确保应用程序的所有领域的报道。根据大小或复杂的web应用程序,扫描可以完成,你可以分析结果进行进一步的优化。站得住脚的强烈建议你检查“扫描笔记”扫描完成后,定期对网站地图插件。