使用 Web 掃描器過程有什么誤解

使用web掃描器過程有以下誤解：

• 能掃描漏洞越多，漏洞庫越大掃描器越好：很多人認為漏洞庫條目多，檢查出來的漏洞多就是好，但在實際使用中Web掃描器面對龐大繁多、千差萬別的應用系統，為提升檢測性能，多采用高效率的Web通用插件，以一掃多，其不再局限于某個專門應用系統，深層次聚合歸并，盡可能多地發現多種應用系統的同類漏洞。同時，對于掃描出來的非誤報漏洞，若同屬某一頁面不同參數所致的相同漏洞，歸納整理，讓最終呈現的漏洞報表簡約而不簡單，避免數量冗余、雜亂無章。故若以毫無插件歸并能力，僅靠大量專門Web系統插件、羅列各類漏洞列表數量多來博取贊許的Web掃描器，其本質存在太多的不專業性。

• 掃描速度越快，耗時時間較短的掃描器越好：網站規模日趨復雜，日常檢查時我們期待Web掃描器能有更高效率地完成掃描任務，這點無可厚非，但檢查的本質是要最大限度地提前發現足夠多的漏洞，并第一時間制定后續相應的修補計劃。故在面對同一目標站點時，Web掃描器若能在單位時間內檢測出來的有效存在漏洞數越多，這個快才是真的好。

• 對掃描目標影響越小掃描器越好：正常來說對掃描目標的影響越小確實越好，但前提是能最大限度發現Web漏洞的前提下才能考慮的關鍵因素，否則掃描過程實現了無損掃描但是實際沒有掃描出任何問題這樣就是本末倒置了，只要Web掃描器在執行掃描過程中，對目標系統負載響應和網絡鏈路帶寬占用，影響足夠小那說明這個掃描器就是優秀，并不需要達到無損掃描。

回答所涉及的環境：聯想天逸510S、Windows 10。