Web应用程序安全漏洞管理

Question

有人知道管理Web应用程序安全漏洞的方法吗？我正在寻找一个工具，可以集成硒和或打嗝。我想要一遍又一遍地做测试。在应用程序中，我们需要在应用程序中的某个点来利用某些漏洞。我不确定这样的事情是否存在，但我想我会问。开源会更好。

Answer 1

有几个选择。从技术上讲，我们不应该在回答中提供基于供应商的建议，但是.例如：

HP Webinspect将执行web应用程序漏洞扫描，并允许一个人重新扫描/重新扫描/验证一个或多个补丁是否已实现，而无需重新扫描整个应用程序。

它还与和IBM集成，用于漏洞跟踪。

还有来自多个供应商的其他漏洞扫描器，如Acunetix、Nessus、Qualys和BeyondTrust，但我不熟悉他们的产品，它们将有不同程度的"web应用程序“扫描支持。

在我看来，你似乎有两个不同的问题：

• 漏洞扫描程序可以重新测试/验证漏洞吗？
  • 对于管理/跟踪发现的漏洞，我有哪些选择？

在跟踪方面，您可能能够利用OWASP依赖项跟踪

依赖跟踪有两个主要目标:记录跨多个应用程序使用第三方组件的情况，以及确定应用程序中易受攻击组件的使用情况。

也可能是VScan

创建VScan是因为在进行漏洞评估之后，有时很难跟踪安全改进程序的实现，因此该工具可以帮助您度量进度，简化修复发现的任何问题的过程。

或ThreadFix

ThreadFix是一个软件漏洞聚合和管理系统，它减少了修复软件漏洞所需的时间。ThreadFix从动态、静态和手动测试中导入结果，以便在开发团队和应用程序之间提供软件安全缺陷的集中视图。