討論安全漏洞的原理，談?wù)劰ぞ叩木窒蕖?/p>

　　先說下掃描工具的原理：

　　掃描工具可以看做由兩部分組成：爬蟲+校驗(yàn)機(jī)構(gòu)。爬蟲的作用是搜集整個(gè)被采集對(duì)象的鏈接，然后校驗(yàn)機(jī)構(gòu)對(duì)這些鏈接逐一進(jìn)行驗(yàn)證。

　　說掃描工具的局限：

　　局限1：掃描未必全面

　　一個(gè)網(wǎng)站，能不能被掃描全面，很大程度取決于爬蟲搜集鏈接的能力。我做過爬蟲的測(cè)試，所以大致知道爬蟲的原理，就是對(duì)給定的入口地址發(fā)起請(qǐng)求，然后從返 回的內(nèi)容中抽取鏈接，然后再請(qǐng)求抽取到的鏈接，如此反復(fù)。包含在HTML中的鏈接，很容易被抽取到，但是由js生成的鏈接，抽取的時(shí)候就有些難度了，由 Flash生成的鏈接，更是難于被抽取到。此時(shí)有人想說圖片驗(yàn)證碼了吧？我們做測(cè)試可以要求網(wǎng)站開綠燈，暫時(shí)屏蔽驗(yàn)證碼，這個(gè)倒可以不考慮。目前ajax 技術(shù)的流行，更讓爬蟲搜集鏈接的能力顯得捉襟見肘。所以這就暴露出了掃描工具的第一個(gè)局限，掃描未必全面。

　　局限2：對(duì)屏蔽錯(cuò)誤信息的網(wǎng)站效果不好

　　如果你覺得掃描不全面可以通過多分析和從不同的入口地址多測(cè)試幾遍可以克服的話，這個(gè)局限就稍微比上邊那個(gè)有點(diǎn)難度了。這個(gè)主要是“校驗(yàn)機(jī)構(gòu)”的局限，校驗(yàn)機(jī)構(gòu)的工作原理是對(duì)特定格式的鏈接或者特定格式的表單匹配特定的模擬攻擊用例，模擬攻擊。我們知道，攻擊是一個(gè)請(qǐng)求的過程，也就是一個(gè)request，而攻擊的結(jié)果怎么看？只能從response里看了。以SQL注入為例，當(dāng)發(fā)送一個(gè)1'這樣的參數(shù)值到后臺(tái)之后，如果返回頁面內(nèi)容中包含了SQLException，那么掃描工具就認(rèn)定它是一個(gè)SQL注入漏洞。但是如果網(wǎng)站設(shè)置了錯(cuò)誤頁面，在有異常發(fā)生時(shí)直接跳轉(zhuǎn)到一個(gè)錯(cuò)誤頁面，告訴你“出錯(cuò)啦！”，然后再?zèng)]其它信息，采集工具怎么判斷是否存在漏洞？難道你去跟研發(fā)人員說“麻煩您把錯(cuò)誤頁面去掉”嗎？要真說了，我們高傲的研發(fā)人員肯定不會(huì)給你好臉色的。

　　局限3：對(duì)特定的場(chǎng)景不適合

　　局限3跟局限2多少有些類似，但性質(zhì)不太一樣，局限3是指某些特定場(chǎng)景。掃描工具掃描bug的原理，1和2里敘述的差不多了，這里我們舉兩個(gè)例子吧，看 了例子大家看看怎么用掃描工具來發(fā)現(xiàn)這倆漏洞，要是不能發(fā)現(xiàn)，那就是掃描工具的局限了。第一個(gè)：有個(gè)網(wǎng)站允許用戶注冊(cè)，用戶注冊(cè)后還允許用戶修改個(gè)人信 息，但是修改個(gè)人信息的這個(gè)地方有個(gè)SQL注入漏洞。我們知道，一般修改個(gè)人信息的SQL大致是這樣的update [userinfo] set password='1111'， email='abc@163.com' where uid='男孩子'，如果一個(gè)用戶修改自己密碼的時(shí)候把密碼設(shè)為了1111'--，這樣，如果存在SQL注入漏洞，所有注冊(cè)用戶的密碼都變成了1111。 這里有漏洞嗎？有！但是工具能發(fā)現(xiàn)嗎？除非查看數(shù)據(jù)庫(kù)， 否則根本發(fā)現(xiàn)不了這問題。再看第二個(gè)：站內(nèi)消息我們很多時(shí)候都用到，假設(shè)站內(nèi)消息存在XSS漏洞，那么A給B發(fā)了這么一段惡意的腳本，但是從A那邊看跟普 通消息的發(fā)送是沒什么區(qū)別的，所以掃描工具就發(fā)現(xiàn)不了這個(gè)問題，除非再用賬號(hào)B來登錄進(jìn)行掃描。但是，這個(gè)看著簡(jiǎn)單，實(shí)際上操作起來卻比較難。你怎么知道 掃描工具模擬攻擊的時(shí)候發(fā)消息給了B，而沒給C或者D或者E呢？所以這個(gè)時(shí)限起來也是不現(xiàn)實(shí)的。同樣道理的還有在外網(wǎng)提交了留言，到管理臺(tái)審核這種模式， 都存在類似問題。

　　以上只是列舉了3點(diǎn)，算是提醒大家多注意一點(diǎn)工具以外的事兒吧，測(cè)試這個(gè)東西，不是拿個(gè)工具就能搞定的。我說這些不是 說大家以后不要用工具，而是要正確的用工具。一個(gè)測(cè)試申請(qǐng)?zhí)峤灰院?，?yīng)該首先分析哪些地方可能是工具覆蓋不到的，把這些地方先人工檢查，剩下的再用工具做 全站覆蓋掃描。

服務(wù)區(qū)域：廣東省、廣州(天河、蘿崗開發(fā)區(qū)、黃埔開發(fā)區(qū)、南沙新區(qū)、番禺、花都、從化、增城、越秀、白云）、珠海市、中山市、江門市、佛山市、惠州市、東莞市、深圳市、肇慶市、云浮市、茂名市、湛江市、清遠(yuǎn)市、韶關(guān)市、梅州市、汕頭市、潮州市、河源市、揭陽市、陽江市

全國(guó)各省、市、自治區(qū)：廣東省、海南省、福建省、湖南省、四川省、重慶市、貴州省、云南省、廣西壯族自治區(qū)、湖北省、河南省、山東省、河北省、陜西省、山西省、浙江省、江蘇省、遼寧省、黑龍江省、吉林省、上海市、天津市、北京市、甘肅省、西藏自治區(qū)、安徽省、青海省、寧夏回族自治區(qū)、內(nèi)蒙古自治區(qū)、新疆維吾爾族自治區(qū)

WX:一三三+++++四二捌伍++++++二伍一捌

主要業(yè)務(wù)為軟件產(chǎn)品測(cè)試、電子產(chǎn)品檢測(cè)、安防產(chǎn)品檢測(cè)、軟件第三方驗(yàn)收測(cè)試、科技項(xiàng)目驗(yàn)收測(cè)試、信息系統(tǒng)第三方檢測(cè)、集成電路檢測(cè)、芯片檢測(cè)、IC檢測(cè)、雷電防護(hù)裝置檢測(cè)（建筑防雷裝置檢測(cè)、防雷定期檢測(cè)、防雷首次檢測(cè)）、通信網(wǎng)防御雷電安全保護(hù)檢測(cè)、移動(dòng)通信基站防雷檢測(cè)、地理信息系統(tǒng)軟件測(cè)試、數(shù)字社區(qū)應(yīng)用軟件測(cè)評(píng)、 建設(shè)領(lǐng)域軟硬件測(cè)評(píng)、軟件安全性測(cè)試、軟件驗(yàn)收項(xiàng)目（安全、性能、驗(yàn)收測(cè)試、滲透測(cè)試、漏洞掃描、***檢查、代碼審計(jì)、代碼檢測(cè)）、廣東省安全技術(shù)防范系統(tǒng)設(shè)計(jì)、施工、維修資格備案證業(yè)績(jī)檢測(cè)（安防工程檢測(cè)）、信息化項(xiàng)目技術(shù)績(jī)效評(píng)估(網(wǎng)站或系統(tǒng)績(jī)效評(píng)估）、政務(wù)信息化項(xiàng)目效能評(píng)估、信息系統(tǒng)安全等級(jí)保護(hù)備案證明、信息系統(tǒng)安全等保報(bào)告、網(wǎng)絡(luò)安全等保測(cè)評(píng)、信息系統(tǒng)安全等保測(cè)評(píng)、數(shù)字新基建項(xiàng)目第三方測(cè)試(5G建設(shè)、特高壓、城際高速鐵路和城市軌道交通、新能源汽車充電樁、大數(shù)據(jù)中心、人工能、工業(yè)互聯(lián)網(wǎng))、廣東省守合同重企業(yè)、通用航空經(jīng)營(yíng)許可（即原來的：民用無人駕駛航空器經(jīng)營(yíng)許可、道路運(yùn)輸經(jīng)營(yíng)許可、AOPA無人機(jī)多旋翼駕駛員培訓(xùn)、無人機(jī)研發(fā)生產(chǎn)銷售、無人機(jī)合作辦學(xué)、無人機(jī)實(shí)訓(xùn)室建設(shè)、信息系統(tǒng)建設(shè)和服務(wù)能力評(píng)估CS、信息系統(tǒng)服務(wù)交付能力評(píng)估CCID、計(jì)算機(jī)信息系統(tǒng)安全服務(wù)證、信息系統(tǒng)集成及服務(wù)資質(zhì)、信息系統(tǒng)運(yùn)維資質(zhì)、音視頻系統(tǒng)集成資質(zhì)、安防系統(tǒng)集成資質(zhì)、音視頻集成工程企業(yè)能力等級(jí)證書、信息化能力評(píng)價(jià)、EDI/ICP安全防護(hù)檢測(cè)、廣東省安全技術(shù)防范系統(tǒng)設(shè)計(jì)、施工與維修證、廣東省有線廣播電視工程設(shè)計(jì)（安裝）證、廣東省防雷工程企業(yè)能力評(píng)價(jià)、軟件過程及能力成熟度評(píng)估CMMI、涉密信息系統(tǒng)集成資質(zhì)、數(shù)據(jù)管理能力成熟度評(píng)估模型DCMM、信息技術(shù)服務(wù)運(yùn)行維護(hù)標(biāo)準(zhǔn)ITSS、信息安全服務(wù)資質(zhì)CCRC、科技成果評(píng)價(jià)、科技成果登記、科技成果登記合作（即掛名）、科學(xué)技術(shù)獎(jiǎng)申請(qǐng)、專利合作申請(qǐng)（即掛名）、國(guó)家高新技術(shù)企業(yè)認(rèn)證、雙軟認(rèn)定、動(dòng)漫企業(yè)認(rèn)定、技術(shù)合同登記、知識(shí)產(chǎn)權(quán)服務(wù)、發(fā)明專利加急、集成電路布圖專有權(quán)登記、計(jì)算機(jī)軟件著作權(quán)登記、軟件檢測(cè)報(bào)告（軟件項(xiàng)目驗(yàn)收鑒定報(bào)告）、工商注冊(cè)、代理記賬、創(chuàng)業(yè)補(bǔ)助申請(qǐng)等服務(wù)領(lǐng)域。VX;133-------4二捌五----2518

如有計(jì)劃辦的企業(yè)，可協(xié)助解決企業(yè)人員問題，可咨詢我們，v---x：133----四二捌五----2518