WASS全稱(chēng)是Web Application Security Scanner，中文翻譯即是Web應(yīng)用安全掃描器。說(shuō)白一點(diǎn)就是Web漏洞掃描軟件，國(guó)外的產(chǎn)品有IBM Appscan、HP WebInspect、Acunetix Web Security Scanner等；國(guó)內(nèi)的產(chǎn)品有JSky、Matrixy、WebRavor等。目前WASS也是逐步升溫，廠家也是越來(lái)越多。

WASS被廣泛關(guān)注是有背景的：一來(lái)是原有網(wǎng)絡(luò)和系統(tǒng)漏洞的減少，許多“有志之士”將目標(biāo)轉(zhuǎn)向了Web應(yīng)用程序，伴隨著大量的SQL注入蠕蟲(chóng)掛馬以及由社交網(wǎng)站的XSS蠕蟲(chóng)出現(xiàn)，業(yè)界對(duì)Web應(yīng)用安全也是越來(lái)越重視；二來(lái)，未來(lái)的技術(shù)趨勢(shì)也是越來(lái)越向Web平臺(tái)遷移，比如微軟和GOOGLE都向網(wǎng)絡(luò)應(yīng)用程序和網(wǎng)絡(luò)操作系統(tǒng)方面演進(jìn)，這些都是戰(zhàn)略性的；最后，從廠商角度來(lái)說(shuō)，利益的驅(qū)動(dòng)還是比較大的，這主要是源自IBM上億美金收購(gòu)Watchfire和HP上億美金收購(gòu)spidynamics的這幾次大手筆。不只是WASS關(guān)注度很大，WAF的發(fā)展也是很迅速的，不過(guò)關(guān)于WAF的內(nèi)容在這里暫且不表。

很長(zhǎng)一段時(shí)間以來(lái)，Web應(yīng)用安全掃描工具的市場(chǎng)基本都是國(guó)外的廠商壟斷，國(guó)內(nèi)缺少自動(dòng)化的評(píng)估工具，啟明星辰，綠盟等國(guó)內(nèi)少數(shù)的幾家具有一定規(guī)模的廠商在進(jìn)行安全評(píng)估時(shí)很大程度上依賴于安全專(zhuān)家，這其實(shí)也是有利有弊。因?yàn)榘踩u(píng)估不像滲透測(cè)試，滲透測(cè)試只要找準(zhǔn)點(diǎn)攻破目標(biāo)系統(tǒng)就行；安全評(píng)估則在保證有效的情況下還得保證全面性。在這個(gè)過(guò)程中，人的精力畢竟是有限的，小網(wǎng)站還好，要是來(lái)個(gè)大網(wǎng)站，上萬(wàn)個(gè)目錄頁(yè)面，人力成本是很高的。

再換句話說(shuō)，即使在有充足的人力成本情況下，你就能保證安全評(píng)估工程師不會(huì)出現(xiàn)重復(fù)勞動(dòng)下的疲憊或者遺漏？從服務(wù)商角度而言也是如此，一個(gè)成指數(shù)增長(zhǎng)（資源增長(zhǎng)遠(yuǎn)小于客戶數(shù)增長(zhǎng)）的企業(yè)才是個(gè)好企業(yè)，一個(gè)依賴大量的專(zhuān)家來(lái)保持增長(zhǎng)的企業(yè)就很難想象有多大的發(fā)展空間了。再說(shuō)了，在國(guó)內(nèi)有那么多稱(chēng)職的安全專(zhuān)家？總之，WASS的出現(xiàn)是符合市場(chǎng)需求的，市場(chǎng)就這么起來(lái)了，因此國(guó)內(nèi)這幾年也出現(xiàn)了像諾賽科技、安域領(lǐng)創(chuàng)還有安恒科技等公司。好歹WASS的市場(chǎng)也呈現(xiàn)百花齊放的景象，越來(lái)越多的公司正在加入這個(gè)行業(yè)。

新的問(wèn)題就來(lái)了，如此多的WASS，如何保證主要功能的完整性呢？或者說(shuō)對(duì)于一個(gè)客戶而言，如何確保購(gòu)買(mǎi)的WASS是能夠有效的全面的找出系統(tǒng)中的漏洞呢？我們姑且可以認(rèn)為幾個(gè)處于霸主地位的WASS廠商也是這么為客戶著想的，他們?cè)赪eb Application Security Consortium的組織下，于一個(gè)漆黑的夜晚一個(gè)漆黑的小屋內(nèi)小聲的討論，完成了一份“Web Application Security Scanner uation Criteria”，也就是Web應(yīng)用安全評(píng)估標(biāo)準(zhǔn)，下文中均簡(jiǎn)寫(xiě)為WASSEC。（稍微遺憾的是，里面沒(méi)有一個(gè)中國(guó)廠商參與）

WASSEC可以通過(guò)如下地址下載（部分國(guó)內(nèi)用戶可能不太方便訪問(wèn)）：http://projects.webappsec.org/f/Web+Application+Security+Scanner+uation+Criteria+-+Version+1.0.pdf，共分為如下幾個(gè)大章節(jié)：

1、  協(xié)議支持

2、  認(rèn)證

3、  會(huì)話管理

4、  鏈接分析

5、  解析

6、  測(cè)試

7、  命令和控制

8、  報(bào)表

#p#

9、  附錄A：考慮購(gòu)買(mǎi)掃描器時(shí)的建議

內(nèi)容寫(xiě)的比較細(xì)，這里并不一一細(xì)數(shù)，我們也不用太陷入里面的章節(jié)?？梢詮娜缦驴蚣芾斫猓?yàn)橐粋€(gè)WASS無(wú)非是滿足這些框架功能的組合體：

a.       網(wǎng)頁(yè)爬蟲(chóng)：評(píng)價(jià)WASS一個(gè)很重要的因素來(lái)自于鏈接分析能力，如是否支持從Javascript中提取鏈接，是否支持從flash文件中提取鏈接，是否支持從復(fù)雜的ajax應(yīng)用中提取鏈接等等。另外也包括標(biāo)簽的事件，重定向請(qǐng)求等。至于認(rèn)證和協(xié)議都是非?；A(chǔ)的，缺少這些的我們甚至可以理解它壓根就不是一個(gè)WASS。

b.       安全測(cè)試：WASS是否有效的核心模塊來(lái)自于漏洞的分析能力。支持的漏洞種類(lèi)（SQL注入，跨站腳本，信息泄露等）是否齊全，是否能夠準(zhǔn)確分析誤報(bào)（如自定義404頁(yè)面等），是否支持權(quán)限測(cè)試等等。

c.       報(bào)表：對(duì)于采購(gòu)WASS的用戶而言，一份漂亮的報(bào)表是必不可少的。是否包含漏洞描述，解決建議；是否滿足業(yè)界的安全標(biāo)準(zhǔn)（如OWASP TOP 10,薩班斯法案等，這些老外很看重）；是針對(duì)開(kāi)發(fā)者還是測(cè)試人員；是否支持PDF,HTML格式等等

d.       操作性：對(duì)于自動(dòng)話工具而言，越少的操作達(dá)到越大的效果是很重要的，因此像掃描操作，暫停操作等是必須的；同時(shí)應(yīng)當(dāng)能夠及時(shí)顯示進(jìn)度，查看已經(jīng)發(fā)現(xiàn)的漏洞細(xì)節(jié)等。

如果您是一位經(jīng)常關(guān)注Web應(yīng)用安全的朋友，應(yīng)該會(huì)有一個(gè)感覺(jué)，這個(gè)WASSEC里面有點(diǎn)貓膩。向來(lái)咱們中國(guó)人都是屬于那種悶聲做事的那種，尤其對(duì)于負(fù)責(zé)技術(shù)的人員而言，對(duì)于沒(méi)有親眼見(jiàn)著的事情持有很強(qiáng)烈的反對(duì)態(tài)度。假設(shè)我們把場(chǎng)景放在測(cè)試人員用工具掃描完然后將漏洞遞交給開(kāi)發(fā)人員的時(shí)候，開(kāi)發(fā)人員說(shuō)“這怎么會(huì)是漏洞呢，我們一直都是這么操作的啊”，如果這位可憐的測(cè)試人員在安全方面不是比較精通的話就很麻煩了。

事實(shí)上這種情況并不少見(jiàn)。在我東塔亮看來(lái)，合格的WASS必須具備滲透測(cè)試功能，否則很難去解釋這為什么是個(gè)漏洞了。巧的很，咱們國(guó)內(nèi)的WASS廠商都具備這個(gè)功能，JSky就不用說(shuō)了，搭配了包含Pangolin和IISPUTScanner在內(nèi)的一系列用于滲透測(cè)試的模塊，在Matrixy和Webravor中也內(nèi)置了SQL注入滲透測(cè)試模塊。而這些剛好是國(guó)外的WASS中都沒(méi)有的。看來(lái)黑燈下火關(guān)門(mén)討論的成果也不是太全面。至少不符合少數(shù)滲透測(cè)試人員的需求；）

對(duì)于本地化來(lái)說(shuō)的話，在WASSEC中也沒(méi)有提及到。國(guó)內(nèi)的市場(chǎng)需要有本地化語(yǔ)言，這在一些大型采購(gòu)單位基本都是硬性規(guī)定。國(guó)內(nèi)的WASS廠商做的都還比較好。國(guó)外的就差遠(yuǎn)了，像IBM的Appscan采用了自動(dòng)化的翻譯軟件翻譯出來(lái)的語(yǔ)言看起來(lái)真是別扭的不行，不過(guò)總比沒(méi)有好，其他廠商的就不說(shuō)了。

除了本身軟件本地化的問(wèn)題以外，對(duì)于編碼的支持也是國(guó)外WASS所不具備的。比如說(shuō)，在WASSEC中明確提出了ISO-8859-1、UTF-7、UTF-8、UTF-16編碼，對(duì)于包括GB2312編碼在內(nèi)的所有東亞或者西歐的編碼方式均沒(méi)有提到，這也就是為什么在國(guó)外WASS的一些報(bào)表中出現(xiàn)大量亂碼的原因。

目前大量網(wǎng)站的表單認(rèn)證都是帶有驗(yàn)證碼的，對(duì)于一個(gè)WASS而言，如何能夠繞過(guò)驗(yàn)證碼繼續(xù)掃描是一個(gè)很重要的技術(shù)細(xì)節(jié)，在WASSEC中也沒(méi)有提及，我想這是因?yàn)榕c會(huì)者所在的那些廠商的產(chǎn)品均不具備這個(gè)功能導(dǎo)致的吧。這也是能理解，但是，你們沒(méi)有，不代表別人沒(méi)有，這么大一個(gè)功能需求怎么就被給“河蟹”掉了呢？

另外我覺(jué)得還有一個(gè)很重要的因素在WASSEC中是被忽略掉的。大家認(rèn)為安全評(píng)估時(shí)只在實(shí)驗(yàn)室的調(diào)試環(huán)境下測(cè)試，還是在現(xiàn)網(wǎng)部署的情況下測(cè)試下更有效呢？我舉個(gè)例子，當(dāng)年中國(guó)移動(dòng)被黑本身官網(wǎng)的應(yīng)用程序是沒(méi)有任何問(wèn)題的，但是不代表第三方程序沒(méi)有問(wèn)題啊，更不代表其他虛擬主機(jī)沒(méi)有問(wèn)題。那么如何去評(píng)估虛擬主機(jī)呢？怎么知道有哪些虛擬主機(jī)呢？這些現(xiàn)網(wǎng)的情況對(duì)開(kāi)發(fā)人員而言都是不可知的。WASS應(yīng)該提供這些手段。

最后，剩下一個(gè)最最重要的問(wèn)題：該份WASSEC并不具備可操作性。為什么這么說(shuō)呢？從文檔的內(nèi)容來(lái)看，讀者應(yīng)當(dāng)是普通的具有購(gòu)買(mǎi)傾向的客戶，那么從專(zhuān)業(yè)性上來(lái)說(shuō)應(yīng)當(dāng)是相對(duì)較弱的，畢竟不是專(zhuān)業(yè)的安全人士。在這個(gè)過(guò)程中，如何確認(rèn)文檔中的內(nèi)容對(duì)于某個(gè)廠商的WASS是否滿足呢？舉個(gè)實(shí)例來(lái)說(shuō)，我們對(duì)于WASS對(duì)flash文件提取鏈接的能力應(yīng)當(dāng)如何去測(cè)試呢？甚至能否提取鏈接都是個(gè)未知數(shù)，難道客戶都得自己先請(qǐng)開(kāi)發(fā)人員做一個(gè)flash文件，將不同的鏈接方式加入進(jìn)去？這樣的可能性基本為零了。到目前為止，沒(méi)有任何一個(gè)廠商或組織發(fā)布一份可以用于滿足WASSEC中提到所有屬性的測(cè)試環(huán)境。又或者說(shuō)，該份文檔根本就是一個(gè)煙霧，只是為了后面出現(xiàn)一個(gè)可供具體操作的環(huán)境或者第三方測(cè)評(píng)機(jī)構(gòu)。當(dāng)然一個(gè)不爭(zhēng)的事實(shí)是，文檔的成員廠商是可以堂而皇之的對(duì)外宣稱(chēng)他們是完全支持WASSEC標(biāo)準(zhǔn)的，而其他某某某不是。

與國(guó)外相比較而言，國(guó)內(nèi)的安全研究人員更利益驅(qū)使一點(diǎn)（短視？），很少有人進(jìn)行大趨勢(shì)或者技術(shù)上的一些總結(jié)輸出，并且也很少有人體現(xiàn)出“板凳甘坐10年冷”的氣魄。這就就是為什么myspace的蠕蟲(chóng)和twitter的蠕蟲(chóng)在國(guó)外非常成型且穩(wěn)定，而國(guó)內(nèi)到目前為止沒(méi)有一個(gè)實(shí)際廣為人知的社區(qū)蠕蟲(chóng)。這肯定不是技術(shù)問(wèn)題，國(guó)內(nèi)在Web安全方面的牛人非常多，技術(shù)也很扎實(shí)，我甚至覺(jué)得國(guó)內(nèi)在Web安全技術(shù)方面的研究是超越國(guó)外的（我們不否認(rèn)有國(guó)家政策的因素在里面）。我們可以回過(guò)頭來(lái)看看早在05年，美國(guó)一個(gè)高中生寫(xiě)的MySpace蠕蟲(chóng)的相關(guān)技術(shù)細(xì)節(jié)：http://namb.la/popular/tech.html。國(guó)內(nèi)的安全人士是否在敬佩之余也稍微有點(diǎn)汗顏呢？不過(guò)話又說(shuō)回來(lái)，國(guó)內(nèi)的這種形勢(shì)也是好的，技術(shù)還掌握在自己手上不是，只是稍微有些遺憾的是，集大成者還是太少。

如今是個(gè)科技化的時(shí)代，軍事戰(zhàn)爭(zhēng)一部分已經(jīng)轉(zhuǎn)化為信息化戰(zhàn)爭(zhēng)。咱們國(guó)人也應(yīng)當(dāng)多總結(jié)多輸出。咱們稍微細(xì)心一點(diǎn)，是能夠發(fā)現(xiàn)在WASSEC中帶有排他性的，要說(shuō)排誰(shuí)，大家只要減去貢獻(xiàn)者清單所在的廠商就能得出來(lái)。咱們的綠盟啊，啟明啊，安恒啊，諾賽啊啥時(shí)候也能在某個(gè)月黑風(fēng)高之夜一起討論得出一個(gè)基線標(biāo)準(zhǔn)出來(lái)，更適合本土化一點(diǎn)，更專(zhuān)業(yè)化一點(diǎn)。畢竟安全類(lèi)產(chǎn)品國(guó)家還是得掂量掂量著引進(jìn)，這個(gè)責(zé)任你們不承擔(dān)誰(shuí)承擔(dān)？

總之，未來(lái)的Web應(yīng)用安全有一段高峰期快來(lái)了，不管是WASS也好，WAF也好都會(huì)迎來(lái)一個(gè)高速增長(zhǎng)期，希望國(guó)內(nèi)的一些安全廠商能夠爭(zhēng)氣一把，抓緊時(shí)機(jī)，爭(zhēng)取出現(xiàn)許多個(gè)安全界的百年企業(yè)。

【編輯推薦】

1. Red Hat Enterprise Linux4.0功能與安全
2. 安全使用RedHat Linux系統(tǒng)
3. Red Hat PXE Server DHCP包遠(yuǎn)程拒絕服務(wù)漏洞