黑盒扫描器的风险控制
在生产环境扫描
- 扫挂的风险。
- 污染线上数据风险。
-
在日常环境扫描
-
横向对比衡量标准
价格
- 误报 & 漏报情况
- 是否支持登录后扫描
- 是否支持爬虫然后扫描
- 是否可控制扫描频率(避免扫挂)
- 云平台多租户下,是否有可能排队过久才开始扫描。
- 后台界面易用性是否符合习惯
- 扫描出报告的速度(多久出结果)
- 是否支持Api形式,可集成到发布平台
-
黑盒扫描器的难点
有些漏洞类型黑盒扫描器难以识别覆盖
- 越权增删改的漏洞。
- 需要前置条件的漏洞(譬如先越权添加关注人,再查询就能看到关注人敏感信息)
- 没有明显特征的敏感信息泄露(如商品名等)
人们需要什么样的扫描器
- 123
- 123
- 123