漏洞扫描和渗透测试是应用安全测试的重要组成部分。这要求各企业使用扫描工具扫描公共和私人可访问的网站、关键应用和端点,以保护财务、个人身份、专有和保密信息。此类测试的目的是发现加密问题、配置错误、缺少补丁等漏洞,以及SQL注入、跨站脚本攻击、OWASP Top 10漏洞等应用漏洞,这些漏洞可能会损害私人数据。
这些扫描引擎针对已知的常见漏洞利用列表,例如OWASP和其他方定义的攻击。OWASP定义的漏洞利用(例如OWASP Top 10)采用各种技术,例如SQL注入、跨站脚本攻击(XSS)、中间人(MITM)攻击和恶意软件注入以破解易受攻击的Web应用和网站,以渗漏数据、诱骗用户或系统提供敏感信息或破坏应用性能。
扫描工具的输出提供了一个易受攻击的URL列表,然后可以在开发中对其进行修补或导入到WAF和WAAP设备中以防止黑客攻击。Radware的Web应用防火墙(WAF)率先通过与动态应用程序安全测试(DAST)解决方案的紧密集成,为持续应用部署环境中的网络应用提供实时安全补丁解决方案。DAST解决方案与Radware的WAF/WAAP之间的集成实现了针对已知Web应用程序漏洞的Web应用虚拟补丁的自动化和加速。
漏洞扫描工具十分昂贵,而且进行恰当的测试需要安全专业知识。作为其WAF的一部分,Radware包括扫描引擎以自动生成安全政策,从而保护Web应用程序。自动策略生成模块包含于Radware中,并将自动利用所需的安全过滤器、创建安全过滤器规则和将安全过滤器切换到活动模式。各企业可以使用内置的自动政策生成、针对漏洞扫描引擎和DAST工具的支持、API发现以及Radware WAF中的被动和主动安全模型,保护API和应用。
应用漏洞分析器功能和比较
| |
Radware |
基于CDN的WAF |
公有云原生WAF |
基于软件的WAAP |
| 被动安全模型和与扫描工具的集成 |
是 |
是 |
是 |
是 |
| 与DAST集成 |
是 |
否 |
否 |
是 |
| 主动安全模型 |
是 |
否 |
否 |
是 |
| 漏洞扫描和自动策略生成 |
是 |
否 |
否 |
否 |
| API发现 |
是 |
否 |
否 |
也许 |
其他资源