讨论安全漏洞的原理，谈谈工具的局限。

　　先说下扫描工具的原理：

　　扫描工具可以看做由两部分组成：爬虫+校验机构。爬虫的作用是搜集整个被采集对象的链接，然后校验机构对这些链接逐一进行验证。

　　说扫描工具的局限：

　　局限1：扫描未必全面

　　一个网站，能不能被扫描全面，很大程度取决于爬虫搜集链接的能力。我做过爬虫的测试，所以大致知道爬虫的原理，就是对给定的入口地址发起请求，然后从返 回的内容中抽取链接，然后再请求抽取到的链接，如此反复。包含在HTML中的链接，很容易被抽取到，但是由js生成的链接，抽取的时候就有些难度了，由 Flash生成的链接，更是难于被抽取到。此时有人想说图片验证码了吧？我们做测试可以要求网站开绿灯，暂时屏蔽验证码，这个倒可以不考虑。目前ajax 技术的流行，更让爬虫搜集链接的能力显得捉襟见肘。所以这就暴露出了扫描工具的第一个局限，扫描未必全面。

　　局限2：对屏蔽错误信息的网站效果不好

　　如果你觉得扫描不全面可以通过多分析和从不同的入口地址多测试几遍可以克服的话，这个局限就稍微比上边那个有点难度了。这个主要是“校验机构”的局限，校验机构的工作原理是对特定格式的链接或者特定格式的表单匹配特定的模拟攻击用例，模拟攻击。我们知道，攻击是一个请求的过程，也就是一个request，而攻击的结果怎么看？只能从response里看了。以SQL注入为例，当发送一个1'这样的参数值到后台之后，如果返回页面内容中包含了SQLException，那么扫描工具就认定它是一个SQL注入漏洞。但是如果网站设置了错误页面，在有异常发生时直接跳转到一个错误页面，告诉你“出错啦！”，然后再没其它信息，采集工具怎么判断是否存在漏洞？难道你去跟研发人员说“麻烦您把错误页面去掉”吗？要真说了，我们高傲的研发人员肯定不会给你好脸色的。

　　局限3：对特定的场景不适合

　　局限3跟局限2多少有些类似，但性质不太一样，局限3是指某些特定场景。扫描工具扫描bug的原理，1和2里叙述的差不多了，这里我们举两个例子吧，看 了例子大家看看怎么用扫描工具来发现这俩漏洞，要是不能发现，那就是扫描工具的局限了。第一个：有个网站允许用户注册，用户注册后还允许用户修改个人信 息，但是修改个人信息的这个地方有个SQL注入漏洞。我们知道，一般修改个人信息的SQL大致是这样的update [userinfo] set password='1111'， email='abc@163.com' where uid='男孩子'，如果一个用户修改自己密码的时候把密码设为了1111'--，这样，如果存在SQL注入漏洞，所有注册用户的密码都变成了1111。 这里有漏洞吗？有！但是工具能发现吗？除非查看数据库， 否则根本发现不了这问题。再看第二个：站内消息我们很多时候都用到，假设站内消息存在XSS漏洞，那么A给B发了这么一段恶意的脚本，但是从A那边看跟普 通消息的发送是没什么区别的，所以扫描工具就发现不了这个问题，除非再用账号B来登录进行扫描。但是，这个看着简单，实际上操作起来却比较难。你怎么知道 扫描工具模拟攻击的时候发消息给了B，而没给C或者D或者E呢？所以这个时限起来也是不现实的。同样道理的还有在外网提交了留言，到管理台审核这种模式， 都存在类似问题。

　　以上只是列举了3点，算是提醒大家多注意一点工具以外的事儿吧，测试这个东西，不是拿个工具就能搞定的。我说这些不是 说大家以后不要用工具，而是要正确的用工具。一个测试申请提交以后，应该首先分析哪些地方可能是工具覆盖不到的，把这些地方先人工检查，剩下的再用工具做 全站覆盖扫描。

服务区域：广东省、广州(天河、萝岗开发区、黄埔开发区、南沙新区、番禺、花都、从化、增城、越秀、白云）、珠海市、中山市、江门市、佛山市、惠州市、东莞市、深圳市、肇庆市、云浮市、茂名市、湛江市、清远市、韶关市、梅州市、汕头市、潮州市、河源市、揭阳市、阳江市

全国各省、市、自治区：广东省、海南省、福建省、湖南省、四川省、重庆市、贵州省、云南省、广西壮族自治区、湖北省、河南省、山东省、河北省、陕西省、山西省、浙江省、江苏省、辽宁省、黑龙江省、吉林省、上海市、天津市、北京市、甘肃省、西藏自治区、安徽省、青海省、宁夏回族自治区、内蒙古自治区、新疆维吾尔族自治区

WX:一三三+++++四二捌伍++++++二伍一捌

主要业务为软件产品测试、电子产品检测、安防产品检测、软件第三方验收测试、科技项目验收测试、信息系统第三方检测、集成电路检测、芯片检测、IC检测、雷电防护装置检测（建筑防雷装置检测、防雷定期检测、防雷首次检测）、通信网防御雷电安全保护检测、移动通信基站防雷检测、地理信息系统软件测试、数字社区应用软件测评、 建设领域软硬件测评、软件安全性测试、软件验收项目（安全、性能、验收测试、渗透测试、漏洞扫描、***检查、代码审计、代码检测）、广东省安全技术防范系统设计、施工、维修资格备案证业绩检测（安防工程检测）、信息化项目技术绩效评估(网站或系统绩效评估）、政务信息化项目效能评估、信息系统安全等级保护备案证明、信息系统安全等保报告、网络安全等保测评、信息系统安全等保测评、数字新基建项目第三方测试(5G建设、特高压、城际高速铁路和城市轨道交通、新能源汽车充电桩、大数据中心、人工能、工业互联网)、广东省守合同重企业、通用航空经营许可（即原来的：民用无人驾驶航空器经营许可、道路运输经营许可、AOPA无人机多旋翼驾驶员培训、无人机研发生产销售、无人机合作办学、无人机实训室建设、信息系统建设和服务能力评估CS、信息系统服务交付能力评估CCID、计算机信息系统安全服务证、信息系统集成及服务资质、信息系统运维资质、音视频系统集成资质、安防系统集成资质、音视频集成工程企业能力等级证书、信息化能力评价、EDI/ICP安全防护检测、广东省安全技术防范系统设计、施工与维修证、广东省有线广播电视工程设计（安装）证、广东省防雷工程企业能力评价、软件过程及能力成熟度评估CMMI、涉密信息系统集成资质、数据管理能力成熟度评估模型DCMM、信息技术服务运行维护标准ITSS、信息安全服务资质CCRC、科技成果评价、科技成果登记、科技成果登记合作（即挂名）、科学技术奖申请、专利合作申请（即挂名）、国家高新技术企业认证、双软认定、动漫企业认定、技术合同登记、知识产权服务、发明专利加急、集成电路布图专有权登记、计算机软件著作权登记、软件检测报告（软件项目验收鉴定报告）、工商注册、代理记账、创业补助申请等服务领域。VX;133-------4二捌五----2518

如有计划办的企业，可协助解决企业人员问题，可咨询我们，v---x：133----四二捌五----2518