近年來，隨著互聯網技術的不斷發(fā)展，Web應用系統(tǒng)如雨后春筍般大規(guī)模涌現。但當Web應用系統(tǒng)被廣泛應用且蘊含經濟價值愈發(fā)凸顯的同時，卻因其互聯、開放等特性，更容易遭受黑客攻擊，因此也面臨著漏洞威脅。

Web漏洞掃描UWS（爬蟲單次）服務是UCloud與綠盟科技合作開發(fā)的一種能遠程通過爬蟲方式進行網站漏洞掃描的服務，客戶無需采購任何Web應用掃描產品，即可獲得網站的漏洞態(tài)勢以及每個漏洞的修補建議。

Web應用系統(tǒng)時刻面臨漏洞威脅

中國互聯網絡信息中心(CNNIC)發(fā)布的第41次《中國互聯網絡發(fā)展狀況統(tǒng)計報告》顯示：截至2017年12月，中國網站數量為533萬個，中國網民數量達到7.72億，中國手機網民規(guī)模達7.53億。

然而，在Web應用系統(tǒng)廣泛應用于公共領域（政治、經濟、文化、國防等）以及個人領域（娛樂、咨詢、交流、溝通等）時，Web應用系統(tǒng)因其互聯、開放等特性，更容易遭受黑客攻擊，也面臨著漏洞威脅。從2005年至今，漏洞數量一直居高不下，這也是導致網站等面向互聯網的Web應用頻繁遭受攻擊的重要原因。

網絡安全防護利器——漏洞掃描

如果將網絡安全工作當作一場戰(zhàn)爭，漏洞掃描器就是這場戰(zhàn)爭中，盤旋在終端網絡設備上空的“無人偵察機”。它能夠及時、準確地檢測出信息平臺基礎架構的安全漏洞，為保證公司業(yè)務高效順利地展開和維護企業(yè)信息資產安全提供強力保障。

漏洞掃描是指基于漏洞數據庫，通過掃描等手段對指定遠程或者本地計算機系統(tǒng)的安全脆弱性進行檢測，發(fā)現可利用漏洞的一種安全檢測（滲透攻擊）行為。網絡安全防護工作是防守與進攻的博弈，是保證信息安全的基石，因此只有及時準確地發(fā)現自有信息平臺的漏洞和問題，才能在信息安全戰(zhàn)爭中處于先機，立于不敗之地。

Web漏洞掃描UWS（爬蟲單次）服務優(yōu)勢明顯

網站的風險漏洞是站點被攻擊的根源，Web漏洞掃描UWS（爬蟲單次）服務支持遠程掃描多種系統(tǒng)漏洞和按照國際權威安全機構WASC分類的25種Web應用漏洞，全面覆蓋OWASP Top 10 Web應用風險。

1.應用場景

• 例行運維過程中，隨時了解當前網站的漏洞情況。

• 在網站應用正式上線前，提供客觀的安全數據依據。

客戶準備進行網站信息系統(tǒng)安全等級保護的定級和測評，需要進行漏洞掃描。根據信息系統(tǒng)安全等級保護基本要求，能夠發(fā)現重要的安全漏洞，是申請安全保護等級第二級以上的信息系統(tǒng)應具備的基本安全保護能力。

2.服務特性

• 無需部署、按需使用

Web漏洞掃描UWS（爬蟲單次）服務是一款純SaaS服務,因此客戶無需安裝任何硬件或軟件，無需改變目前的網絡部署狀況。按需付費的方式，不僅節(jié)省客戶在采購安全軟件或設備方面的投入與維護成本，并且減少安全人員投入，節(jié)省客戶人力資源成本和管理費用。

• Web應用安全評估全面

Web漏洞掃描UWS（爬蟲單次）服務安全評估服務范圍包括門戶網站、電子商務、網上營業(yè)廳等各種Web應用系統(tǒng)，同時其全面性還體現在以下兩個方面：

檢測范圍：

• 覆蓋Ajax、Flash、JavaScript等Web2.0環(huán)境；
• 支持PHP、ASP、.NET和Java等編程語言；
• 支持IIS、Apache、Nginx、Tomcat等Web服務器；
• 支持各種靜態(tài)頁面（后綴名為：html、htm等）和動態(tài)頁面（后綴名為：asp、jsp、php、asp、jsp、php、aspx、phtml、shtml、xhtml、do等）；
• 支持Flash攻擊檢測、復雜字符編碼、會話令牌管理、多種認證方式（Basic、NTLM、Cookie、SSL等）；
• 支持代理掃描，HTTPS掃描等。

風險分析：

• 支持WASC的漏洞分類，以及按照威脅嚴重性分高、中、低三個等級進行風險分析；
• 支持兩個版本的OWASP TOP10漏洞分類和風險分析，為用戶提供權威的分析結果；
• 支持風險的對比分析和趨勢分析，既可以幫助用戶進行多站點差異化風險管理，還可以助其更準確了解、分析站點的歷史風險狀況和未來的風險趨勢，提高風險管理水平。

• 快速穩(wěn)定掃描

Web漏洞掃描UWS（爬蟲單次）服務基于UCloud與綠盟科技的多年安全技術積累，運用智能頁面爬取、資源動態(tài)調節(jié)、代理緩存機制和實時任務調度等技術，可實現對大規(guī)模網站的快速穩(wěn)定掃描。

• 無損漏洞掃描

網站的業(yè)務健康性是網站運維中至關重要的指標，而Web漏洞掃描UWS（爬蟲單次）服務采用了無損的漏洞掃描技術，因此可以避免該服務對網站業(yè)務的健康性造成影響。

• 全方位檢測合一

對于攻擊者來說，IT系統(tǒng)的很多方面都存在脆弱性。這些方面包括常見的操作系統(tǒng)漏洞、應用系統(tǒng)漏洞、弱口令，也包括容易被忽略的錯誤安全配置問題，以及違反最小化原則開放的不必要的賬號、服務、端口等。

Web漏洞掃描UWS（爬蟲單次）服務能夠全方位檢測系統(tǒng)存在的脆弱性，發(fā)現系統(tǒng)的安全漏洞、安全配置問題、應用系統(tǒng)安全漏洞；檢查系統(tǒng)存在的弱口令；收集系統(tǒng)不必要開放的賬號、服務、端口。最終形成整體安全風險報告，幫助安全管理人員先于攻擊者發(fā)現安全問題，及時進行修補。

• 豐富的漏洞庫

Web漏洞掃描UWS（爬蟲單次）服務的漏洞庫來自于UCloud安全團隊與綠盟科技NSFOCUS安全小組。其中有多位專職研究員進行漏洞跟蹤和漏洞前瞻性研究，并且為國際上知名網絡安全廠商提供相關漏洞的規(guī)則支持。具體規(guī)則更新由UCloud安全人員與NSFOCUS安全小組共同負責Web漏洞掃描（爬蟲單次）服務的漏洞知識庫和檢測規(guī)則維護，除定期每兩周的升級外，重大漏洞的升級在全球首次發(fā)現后，兩天內便可完成。

依靠專業(yè)安全團隊的研究積累，Web漏洞掃描UWS（爬蟲單次）服務知識庫已經有超過10000條系統(tǒng)漏洞信息，涵蓋所有主流基礎系統(tǒng)、應用系統(tǒng)、網絡設備等網元對象。同時，知識庫中還提供7大類30多種產品上百個版本系統(tǒng)的配置檢查庫，并且由綠盟科技作為專業(yè)安全廠商為其提供加固修補建議。

安全評估是保障網站安全的重要手段，通過掃描發(fā)現目標網站是否存在掛馬以及是否存在能被黑客利用的各種漏洞，進而促進網站漏洞修補工作，這是從根本上解決安全問題的有效途徑。Web漏洞掃描UWS（爬蟲單次）服務以其便捷的配置、全面快速的檢測能力和多環(huán)境適應性成為企業(yè)網站風險管理的得力助手，可廣泛應用于政府、等級保護測評機構、公安、運營商、金融、能源、教育、醫(yī)療、互聯網等行業(yè)，適用于針對Web應用的安全檢查和風險自評。