黑盒扫描器的风险控制

在生产环境扫描

  • 扫挂的风险。
  • 污染线上数据风险。
  • 删除及修改线上数据风险。

    在日常环境扫描

  • 没有敏感数据而漏报(测试数据中不含敏感数据导致扫不出)

    横向对比衡量标准

  • 价格

  • 误报 & 漏报情况
  • 是否支持登录后扫描
  • 是否支持爬虫然后扫描
  • 是否可控制扫描频率(避免扫挂)
  • 云平台多租户下,是否有可能排队过久才开始扫描。
  • 后台界面易用性是否符合习惯
  • 扫描出报告的速度(多久出结果)
  • 是否支持Api形式,可集成到发布平台
  • 支持哪些其他扫描器无法支持的漏洞类型(如逻辑漏洞等)

    黑盒扫描器的难点

  • 有些漏洞类型黑盒扫描器难以识别覆盖

    • 越权增删改的漏洞。
  • 需要前置条件的漏洞(譬如先越权添加关注人,再查询就能看到关注人敏感信息)
  • 没有明显特征的敏感信息泄露(如商品名等)

人们需要什么样的扫描器

  • 123
  • 123
  • 123