Netsparker Web應用程序安全掃描流程

Web應用程序安全性掃描流程

僅靠自動啟動Web應用程序安全掃描是不夠的。維護安全的Web應用程序是一個范圍更廣，更具挑戰性的過程。借助Netsparker的先進技術，比以往任何時候都更容易發現Web應用程序中的問題并進行修復。

Netsparker將為您提供默認選項和解釋。但是，您還需要收集有關Web應用程序的一些詳細信息。本主題將幫助您進行準備，以便您可以為Netsparker掃描設置正確的選項。

了解您的Web應用程序

在啟動掃描之前，最好進行一次檢查。答案將幫助您優化掃描策略。

您知道有關您網站技術的以下知識嗎？

• 使用哪種編程（或腳本）語言開發網站？
• Web應用程序是基于框架還是CMS？
• 該應用程序在哪個操作系統上運行？
• 是否有任何數據庫連接到該應用程序？
• 您是否了解所有在線抵押品，Web應用程序和服務？
• Web應用程序中最易受攻擊的組件可能是登錄表單和輸入字段（掃描完成后會在知識庫中報告）。您是否檢查過網站以確定是否存在任何Web表單或輸入區域？您將需要它們來設置表單身份驗證或將其從“掃描范圍”中排除。在這種情況下，排除組件將非常有用。如果未正確設置參數，Netsparker會進行大量攻擊，可能會對您的Web應用程序產生負面影響。例如，如果您的Web應用程序上有一個郵件表單，Netsparker將在該表單上發送請求，您可能會收到許多不需要的電子郵件。

準備和配置掃描

了解了Web應用程序中存在哪些技術和其他元素之后，接下來，您將開始配置掃描。

Netsparker是一個非常友好的自動化Web應用程序安全掃描程序。在大多數情況下，輸入目標URL并開始掃描就足夠了。掃描儀將自動對其進行微調。但是，即使Netsparker將成功發現問題，它也可能進行額外和不必要的安全檢查，從而使目標主機不必要地忙碌，因為沒有正確配置掃描。因此，您可以選擇自己配置掃描設置。或者，您可以使用Netsparker Assistant。

Web應用程序安全性掃描的持續時間取決于各種因素。為了縮短持續時間，您可以通過配置某些設置來優化掃描。為了獲得更準確的掃描結果，您應該進一步配置掃描。您可以配置以下選項：

• 搜尋選項
• 掃描范圍
• URL重寫規則
• 網站認證
• 掃描政策

在掃描您的網站之前，目標主機必須已準備好進行測試。確保目標主機在掃描過程中保持聯機狀態。此外，您可以使用“暫停”和“停止”功能。為避免任何服務故障，您可以使用“ 掃描時間窗口”來設置Netsparker掃描目標URL的時間。

掃描您的Web應用程序

將您的Web應用程序視為您業務的不安全后門。現代的Web應用程序使用戶可以與主機的網絡或服務器進行交互。不良的編碼和不良的強化策略可能會對Web應用程序的安全性產生負面影響。如果未使用相關安全標準開發Web應用程序，則可以通過利用漏洞和錯誤配置來對其進行操作。

Netsparker的先進的基于證明的掃描TM技術使在Web應用程序中輕松識別SQL注入、跨站點腳本（XSS）和數千個其他漏洞成為可能。Netsparker還可以檢測過時的Web應用程序技術，以幫助您使Web應用程序保持最新。

在Netsparker Standard版中，還提供了內置的安全測試工具，例如HTTP Request Builder，ViewState Viewer和Encoding and Decoding Tools。它還具有報告生成器，該報告生成器允許用戶導出掃描結果的詳細信息。Netsparker可以輕松集成到SDLC，DevOps和其他環境中，以幫助確保Web應用程序的安全。

查看和比較掃描結果與先前的掃描

如果您具有Netsparker版本，則可能已經對Web應用程序進行了掃描。以前的掃描使您知道安全開發過程。請比較新舊掃描結果，并檢查新發現的問題。

• Netsparker允許您重新測試先前掃描中發現的問題。
• 您還可以為特定漏洞選擇安全測試類型。
• 增量掃描可幫助您節省時間。您可以僅掃描自上次掃描以來添加的新頁面，而不必掃描Web應用程序。

您可以將問題跟蹤程序與Netsparker集成在一起，以幫助您管理和維護SDLC（軟件開發生命周期）每個階段的所有問題列表。

解決問題

攻擊者使用不同的方法來入侵Web應用程序。每天都有可能再次發動攻擊。計劃和執行定期安全掃描至關重要。每次掃描都可能發現您的Web應用程序中的新漏洞。如果檢測到漏洞，則需要盡快修復它們，然后使用Netsparker重新測試它們。此時，Netsparker將檢查問題是否已正確解決。如果是這樣，則將其標記為已解決。此過程需要連續進行，以便維護Web應用程序的安全性。

重新測試已解決的問題

安全掃描的主要目標是檢測問題并解決問題。Netsparker使您可以重新測試問題，以檢查問題是否已解決。無需開始全面掃描，您只能重新測試已解決的問題。

在Netsparker Standard中，您可以一次重新測試一個或多個問題。在Netsparker Enterprise中，您可以重新測試所有問題。Netsparker Enterprise自動檢查該問題。如果已按預期解決，則該問題將標記為“已修復”。如果不是，則將問題分配回受讓人。如果您確定問題是誤報，則可以將其標記為誤報。如果您知道問題的影響，也可以將其標記為“可接受的風險”。最后，您可以手動將問題標記為“已修復”（未確認）。

生成報告

報告是Web應用程序安全性掃描過程中最重要的步驟。Netsparker可以根據相關法規生成報告。如果您希望Web應用程序符合ISO 27001，請生成ISO 27001符合性報告以檢查特定漏洞并采取正確的補救措施。

Netsparker Enterprise On-Demand還具有PCI合規性功能，使您可以自動化大多數過程并生成批準的PCI合規性報告。完成PCI掃描后，符合標準的網站將收到批準的合規性報告。如果網站失敗，則可以修復列出的漏洞并重新測試。

Netsparker還使您能夠創建自定義報告。這意味著您可以更改漏洞詳細信息，分類編號，采取的措施或添加組織徽標。