解决商业和非商业软件困境(免费)
在今天的商业世界没有什么是免费的,所以我们大多数人认为。在10分钟的在互联网上寻找一个web应用程序安全扫描器web应用程序渗透测试,我发现了50多个非商业web应用程序安全性扫描仪,即他们都是免费。虽然一些只有特定漏洞扫描类等SQL注入或跨站点脚本编制,他们中的一些人似乎完全被安全扫描仪。
所以我为什么要支付web应用程序安全扫描器当有许多免费吗?我如何证明费用购买商业管理网络安全扫描器?
商业和非商业的web应用程序安全扫描器有它们自己的优点和缺点。在这一系列的博客文章,我们将会看到几个方面和需求时,你通常会寻找拥有此类软件。
Web应用程序的自动化安全扫描
商业web应用程序安全性扫描仪内置自动爬虫和扫描仪。因此对于漏洞扫描一个web应用程序是一个非常简单的过程。大多数非商业性的web应用程序安全扫描仪没有自动爬虫和扫描仪。他们中的大多数需要大量的人工干预来检测漏洞在web应用程序中。例如,其中大部分是必须配置为一个代理服务器获取交通时手动浏览web应用程序。之后,你必须手动触发安全脚本分析记录会话的数量。
虽然不能保证商业自动化web应用程序安全扫描器将爬一个web应用程序的所有领域,识别所有攻击表面,自动化的过程总是比手动抓取web应用程序更高效。有什么保证渗透试验器将在web应用程序中访问所有地区和输入,让他们记录吗?此外,有时几乎是人类不可能手动爬现代ERP系统等大型web应用程序。
进一步阅读关于自动化:如果你想阅读更多关于自动化web应用程序漏洞的发现,博客为什么Web漏洞测试需要自动化突出部分和解释了自动化web应用程序漏洞的发现所带来的好处。
易用性和文档
在前一节中解释说,一些非商业web应用程序安全性扫描仪需要经过几个过程来识别漏洞在web应用程序中。这只是冰山的一角。他们中的一些人有几个以前条件或在一个非常具体的环境中运行,因此您可能会遇到一些困难,即使试图安装它们。然后他们只包括大量的选项或在命令行中运行。
相反,一个商业的开箱即用的安装web应用程序安全扫描器拥有一个易于使用的图形用户界面,可以自动抓取和扫描各种各样的web应用程序。所有你需要做的就是启动一个用户友好的向导,配置一些选项,几分钟内就可以开始扫描。尽管大多数程序自动化,商业扫描仪还有很多选项,允许您调整扫描仪时需要。如果你不知道如何做某件事,你总是可以RTFM
不断发展和进步,扫描最新的安全检查
有多少次你开始一个项目,把它在稍后的阶段,因为你没有时间吗?同样的发生在很多非商业项目和web应用程序安全性扫描仪。这种扫描仪通常由开发人员非常有才华和渗透测试人员作为爱好,或者自己的工作自动化。一段时间后,他们最终在线和他们中的一些人成为非常受欢迎的,但其中大多数是很少更新或停止。也许一天免费披萨是我们没有支付房租,这些项目可能会生存得更久。
商业web应用程序安全性扫描仪来自完全不同的背景。他们是开发和维护经济安全软件公司和成功的企业。大量的金钱投资在这些类型的项目。软件公司买得起好的开发人员,也可以投资于自己的研究部门。这种类型的金融稳定保证产品使用最新的前沿技术,可以检测的最新类型的web应用程序漏洞。只要业务是盈利的,产品可以维护和将继续改善。
事实上,虽然许多商业web应用程序安全性扫描仪每月至少更新一次,不幸的是,大多数的非商业性网络安全扫描器甚至没有每年更新一次。
爬行和扫描自定义Web应用程序
现代web应用程序开发使用各种开发框架(如PHP、。net、ASP、ColdFusion, Ruby, Java和更多。还包括一些安全特性如anti-CSRF机制和使用不同类型的身份验证机制。既然搜索引擎优化已经成为所有类型的在线业务最重要的搜索引擎优化特性,比如搜索引擎友好的URL (URL重写)和自定义404错误页面。
虽然是不可能的对于任何商业和非商业扫描仪支持上述开发框架和定制,一个商业的开箱即用的安装扫描仪支持广泛的发展平台。例如,Invictianti-CSRF令牌支持自动扫描网站已内置CSRF攻击的保护。其他一些自动检测URL重写规则和适应的场景,因此报告少或没有假阳性* 1。
从爬行和框架支持的观点,非商业web应用程序安全性扫描仪工作有点不同。虽然他们可能没有具体的支持一个特定的web应用程序特性或框架,因为他们中的许多人需要手动干预他们的可以用来抓取部分web应用程序和检测漏洞“低垂的果实”。
最新的Web应用程序漏洞检查
大部分的非商业性的web应用程序安全扫描器有很多缺点;有限的时间和资源块这类项目的发展进程和研究新的漏洞。因此大部分的非商业扫描仪只检测一个特定的,或一个有限数量的漏洞类。
商业web应用程序安全性扫描可以检测到更广泛的web应用程序的漏洞,因为他们有一个良好的财务支持。大多数安全软件公司开发安全扫描仪的预算投资在研究新的漏洞和安全的趋势。一些也有自己的测试部门,工程师不断推出脆弱性扫描与脆弱,non-vulnerable web应用程序,以确保一个稳定的漏洞检出率。这样练习的结果还可以用于web应用程序开发人员提供建议web应用程序的漏洞。的博客黑客领先一步吗?一个分析使用Web应用程序漏洞包含统计数据时发现了漏洞,这样的测试。
专业软件支持
不是沮丧,当你遇到问题和支持是不可用的?我用于宗教依靠非商业软件,但经过几个陷阱,我只好收工。当我遇到一个问题,支持是非常有限的,或在某些情况下,它根本不存在。更糟糕的是有时你发现别人已经遇到了同样的问题和你的几个月前,没有人回答他的论坛/评论帖子。在任何人的书这不够好。
如果在执行渗透测试在客户的网站,我遇到一个问题,我想尽早解决这个问题。我不能,是不专业的问客户等到找到解决方案。如果没有找到一个解决方案呢?web应用程序安全扫描软件,企业依赖的类型。你可以下载一个非商业性的电子邮件客户端,随时改变它,或没有几天。但web应用程序安全扫描仪用于安全的业务网络应用程序,是不断发展的,在攻击下,通过渗透测试人员有严格的最后期限和花费很多钱。因此,你不会在一夜之间改变网络安全扫描器仅一百一十分钟后研究。
因此为什么专业支持和技术文档是必须的。我愿意支付支持即使使用非商业软件。支持是救生员,当你坚持你的背靠在墙上。
与开发系统集成和专业报告
web应用程序安全性的范围扫描仪检测漏洞和不生成报告或与其他系统集成。理所当然,但当工作作为团队的一部分,或与客户、报告生成和扫描必须由其他系统自动触发;通常扫描仪集成到软件开发生命周期。所以即使我们中的大多数技术人员不喜欢它,集成和报告是至关重要的特性,使web应用程序安全扫描一个完整的安全解决方案。安全扫描器越协作和集成特性,更多的机会被集成到大型开发项目和渗透测试团队。
企业迅速了解该行业的需求和抓住机会卖出更多的副本的扫描仪。现在大多数商业web应用程序安全扫描器有自己的记者或可以导出XML格式的扫描结果所以他们解析和进口bug跟踪系统。他们中的一些人也可以与web应用程序集成防火墙或其他类型的防御系统。
这是另一个话题,非商业web应用程序安全性扫描仪无法交付。再一次,这不是开发商的错,但它可能是有限的资源,或缺乏支持的主要参与者与集成。
结论
正如我们所看到的在这个系列的博客,这是不可能的,在某种程度上不公平比较非商业和商业web应用程序安全扫描器。它就像一个赛车的赛道和种族对标准的汽车。这并不意味着非商业web应用程序安全性扫描仪不如商业的,它只是意味着他们为不同的目的从而构建不能相比。
大公司与专用的渗透测试团队,或者大型web应用程序开发公司想要一个易于使用的网络安全解决方案,可以很容易地集成在SDLC,帮助员工快速的完成任务,生成专业报告,可用于自动化大多数重复无聊的过程减少员工数量。企业不愿意投资在培训员工如何使用软件或雇佣某人只运行一个软件。
另一方面,如果你尝试,愿意了解更多关于web应用程序安全性(有时间),或在小项目,很可能一个非商业web应用程序安全性扫描是正确的选择。
* 1了解假阳性及其对web应用程序安全扫描,影响阅读Web应用程序安全性的假阳性问题以及如何解决这些问题。
