該選擇哪個(gè)開(kāi)源數(shù)據(jù)庫(kù)

如果打算為項(xiàng)目選擇一款免費(fèi)、開(kāi)源的數(shù)據(jù)庫(kù)，那么你可能會(huì)在MySQL與PostgreSQL之間猶豫不定。MySQL與PostgreSQL都是免費(fèi)、開(kāi)源、強(qiáng)大、且功能豐富的數(shù)據(jù)庫(kù)。你主要的問(wèn)題可能是：哪一個(gè)才是最好的開(kāi)源數(shù)據(jù)庫(kù)，MySQL還是PostgreSQL呢？該選擇哪一個(gè)開(kāi)源數(shù)據(jù)庫(kù)呢？

創(chuàng)新互聯(lián)于2013年開(kāi)始，先為港南等服務(wù)建站，港南等地企業(yè)，進(jìn)行企業(yè)商務(wù)咨詢服務(wù)。為港南企業(yè)網(wǎng)站制作PC+手機(jī)+微官網(wǎng)三網(wǎng)同步一站式服務(wù)解決您的所有建站問(wèn)題。

在選擇數(shù)據(jù)庫(kù)時(shí)，你所做的是個(gè)長(zhǎng)期的決策，因?yàn)楹竺嫒绻俑淖儧Q定將是非常困難且代價(jià)高昂的。你希望一開(kāi)始就選擇正確。兩個(gè)流行的開(kāi)源數(shù)據(jù)庫(kù)MySQL與PostgreSQL常常成為最后要選擇的產(chǎn)品。對(duì)這兩個(gè)開(kāi)源數(shù)據(jù)庫(kù)的高層次概覽將會(huì)有助于你選擇最適合自己需要的。

MySQL

MySQL相對(duì)來(lái)說(shuō)比較年輕，首度出現(xiàn)在1994年。它聲稱(chēng)自己是最流行的開(kāi)源數(shù)據(jù)庫(kù)。MySQL就是LAMP（用于Web開(kāi)發(fā)的軟件包，包括Linux、Apache及Perl/PHP/Python）中的M。構(gòu)建在LAMP棧之上的大多數(shù)應(yīng)用都會(huì)使用MySQL，包括那些知名的應(yīng)用，如WordPress、Drupal、Zend及phpBB等。

一開(kāi)始，MySQL的設(shè)計(jì)目標(biāo)是成為一個(gè)快速的Web服務(wù)器后端，使用快速的索引序列訪問(wèn)方法（ISAM），不支持ACID。經(jīng)過(guò)早期快速的發(fā)展之后，MySQL開(kāi)始支持更多的存儲(chǔ)引擎，并通過(guò)InnoDB引擎實(shí)現(xiàn)了ACID。MySQL還支持其他存儲(chǔ)引擎，提供了臨時(shí)表的功能（使用MEMORY存儲(chǔ)引擎），通過(guò)MyISAM引擎實(shí)現(xiàn)了高速讀的數(shù)據(jù)庫(kù)，此外還有其他的核心存儲(chǔ)引擎與第三方引擎。

MySQL的文檔非常豐富，有很多質(zhì)量不錯(cuò)的免費(fèi)參考手冊(cè)、圖書(shū)與在線文檔，還有來(lái)自于Oracle和第三方廠商的培訓(xùn)與支持。

MySQL近幾年經(jīng)歷了所有權(quán)的變更和一些頗具戲劇性的事件。它最初是由MySQL

AB開(kāi)發(fā)的，然后在2008年以10億美金的價(jià)格賣(mài)給了Sun公司，Sun公司又在2010年被Oracle收購(gòu)。Oracle支持MySQL的多個(gè)版本：Standard、Enterprise、Classic、Cluster、Embedded與Community。其中有一些是免費(fèi)下載的，另外一些則是收費(fèi)的。其核心代碼基于GPL許可，對(duì)于那些不想使用GPL許可的開(kāi)發(fā)者與廠商來(lái)說(shuō)還有商業(yè)許可可供使用。

現(xiàn)在，基于最初的MySQL代碼還有更多的數(shù)據(jù)庫(kù)可供選擇，因?yàn)閹讉€(gè)核心的MySQL開(kāi)發(fā)者已經(jīng)發(fā)布了MySQL分支。最初的MySQL創(chuàng)建者之一Michael

"Monty"

Widenius貌似后悔將MySQL賣(mài)給了Sun公司，于是又開(kāi)發(fā)了他自己的MySQL分支MariaDB，它是免費(fèi)的，基于GPL許可。知名的MySQL開(kāi)發(fā)者Brian

Aker所創(chuàng)建的分支Drizzle對(duì)其進(jìn)行了大量的改寫(xiě)，特別針對(duì)多CPU、云、網(wǎng)絡(luò)應(yīng)用與高并發(fā)進(jìn)行了優(yōu)化。

PostgreSQL

PostgreSQL標(biāo)榜自己是世界上最先進(jìn)的開(kāi)源數(shù)據(jù)庫(kù)。PostgreSQL的一些粉絲說(shuō)它能與Oracle相媲美，而且沒(méi)有那么昂貴的價(jià)格和傲慢的客服。它擁有很長(zhǎng)的歷史，最初是1985年在加利福尼亞大學(xué)伯克利分校開(kāi)發(fā)的，作為Ingres數(shù)據(jù)庫(kù)的后繼。

PostgreSQL是完全由社區(qū)驅(qū)動(dòng)的開(kāi)源項(xiàng)目，由全世界超過(guò)1000名貢獻(xiàn)者所維護(hù)。它提供了單個(gè)完整功能的版本，而不像MySQL那樣提供了多個(gè)不同的社區(qū)版、商業(yè)版與企業(yè)版。PostgreSQL基于自由的BSD/MIT許可，組織可以使用、復(fù)制、修改和重新分發(fā)代碼，只需要提供一個(gè)版權(quán)聲明即可。

可靠性是PostgreSQL的最高優(yōu)先級(jí)。它以堅(jiān)如磐石的品質(zhì)和良好的工程化而聞名，支持高事務(wù)、任務(wù)關(guān)鍵型應(yīng)用。PostgreSQL的文檔非常精良，提供了大量免費(fèi)的在線手冊(cè)，還針對(duì)舊版本提供了歸檔的參考手冊(cè)。PostgreSQL的社區(qū)支持是非常棒的，還有來(lái)自于獨(dú)立廠商的商業(yè)支持。

數(shù)據(jù)一致性與完整性也是PostgreSQL的高優(yōu)先級(jí)特性。PostgreSQL是完全支持ACID特性的，它對(duì)于數(shù)據(jù)庫(kù)訪問(wèn)提供了強(qiáng)大的安全性保證，充分利用了企業(yè)安全工具，如Kerberos與OpenSSL等。你可以定義自己的檢查，根據(jù)自己的業(yè)務(wù)規(guī)則確保數(shù)據(jù)質(zhì)量。在眾多的管理特性中，point-in-time

recovery（PITR）是非常棒的特性，這是個(gè)靈活的高可用特性，提供了諸如針對(duì)失敗恢復(fù)創(chuàng)建熱備份以及快照與恢復(fù)的能力。但這并不是PostgreSQL的全部，項(xiàng)目還提供了幾個(gè)方法來(lái)管理PostgreSQL以實(shí)現(xiàn)高可用、負(fù)載均衡與復(fù)制等，這樣你就可以使用適合自己特定需求的功能了。

平臺(tái)

MySQL與PostgreSQL都出現(xiàn)在一些高流量的Web站點(diǎn)上：

MySQL：Slashdot、Twitter、Facebook與Wikipedia

PostgreSQL：Yahoo使用了一個(gè)修改的PostgreSQL數(shù)據(jù)庫(kù)來(lái)處理每天數(shù)以億計(jì)的事件，還有Reddit和Disqus

MySQL與PostgreSQL都能運(yùn)行在多個(gè)操作系統(tǒng)上，如Linux、Unix、Mac OS

X與Windows。他們都是開(kāi)源、免費(fèi)的，因此測(cè)試他們時(shí)的唯一代價(jià)就是你的時(shí)間與硬件。他們都很靈活且具有可伸縮性，可用在小型系統(tǒng)和大型分布式系統(tǒng)上。MySQL在一個(gè)領(lǐng)域上要比PostgreSQL更進(jìn)一步，那就是它的觸角延伸到了嵌入式領(lǐng)域，這是通過(guò)libmysqld實(shí)現(xiàn)的。PostgreSQL不支持嵌入式應(yīng)用，依然堅(jiān)守在傳統(tǒng)的客戶端/服務(wù)器架構(gòu)上。

MySQL通常被認(rèn)為是針對(duì)網(wǎng)站與應(yīng)用的快速數(shù)據(jù)庫(kù)后端，能夠進(jìn)行快速的讀取和大量的查詢操作，不過(guò)在復(fù)雜特性與數(shù)據(jù)完整性檢查方面不太盡如人意。PostgreSQL是針對(duì)事務(wù)型企業(yè)應(yīng)用的嚴(yán)肅、功能完善的數(shù)據(jù)庫(kù)，支持強(qiáng)ACID特性和很多數(shù)據(jù)完整性檢查。他們二者都在某些任務(wù)上具有很快的速度，MySQL不同存儲(chǔ)引擎的行為有較大差別。MyISAM引擎是最快的，因?yàn)樗粓?zhí)行很少的數(shù)據(jù)完整性檢查，適合于后端讀操作較多的站點(diǎn)，不過(guò)對(duì)于包含敏感數(shù)據(jù)的讀/寫(xiě)數(shù)據(jù)庫(kù)來(lái)說(shuō)就是個(gè)災(zāi)難了，因?yàn)镸yISAM表最終可能會(huì)損壞。MySQL提供了修復(fù)MySQL表的工具，不過(guò)對(duì)于敏感數(shù)據(jù)來(lái)說(shuō)，支持ACID特性的InnoDB則是個(gè)更好的選擇。

與之相反，PostgreSQL則是個(gè)只有單一存儲(chǔ)引擎的完全集成的數(shù)據(jù)庫(kù)。你可以通過(guò)調(diào)整postgresql.conf文件的參數(shù)來(lái)改進(jìn)性能，也可以調(diào)整查詢與事務(wù)。PostgreSQL文檔對(duì)于性能調(diào)優(yōu)提供了非常詳盡的介紹。

MySQL與PostgreSQL都是高可配置的，并且可以針對(duì)不同的任務(wù)進(jìn)行相應(yīng)的優(yōu)化。他們都支持通過(guò)擴(kuò)展來(lái)添加額外的功能。

一個(gè)常見(jiàn)的誤解就是MySQL要比PostgreSQL更容易學(xué)習(xí)。關(guān)系數(shù)據(jù)庫(kù)系統(tǒng)都是非常復(fù)雜的，這兩個(gè)數(shù)據(jù)庫(kù)的學(xué)習(xí)曲線其實(shí)是差不多的。

標(biāo)準(zhǔn)兼容性

PostgreSQL旨在實(shí)現(xiàn)SQL兼容性（當(dāng)前標(biāo)準(zhǔn)是ANSI-SQL:2008）。MySQL則兼容大部分SQL，不過(guò)還有自己的擴(kuò)展，可以支持NoSQL特性，這在參考手冊(cè)中都有介紹。每種方式都有優(yōu)缺點(diǎn)。兼容標(biāo)準(zhǔn)會(huì)讓數(shù)據(jù)庫(kù)管理員、數(shù)據(jù)庫(kù)開(kāi)發(fā)者與應(yīng)用開(kāi)發(fā)者更舒服一些，因?yàn)檫@意味著他們只需學(xué)習(xí)一套標(biāo)準(zhǔn)、一套特性和命令即可。這會(huì)節(jié)省時(shí)間，提升效率，也不會(huì)被鎖定在特定的廠商上。

支持使用非標(biāo)準(zhǔn)的自定義功能的人們認(rèn)為這樣可以快速采用新的特性，而不必等待標(biāo)準(zhǔn)進(jìn)程完成。ANSI/ISO標(biāo)準(zhǔn)在不斷演化，因此標(biāo)準(zhǔn)兼容性也是個(gè)變化的目標(biāo)：知名的關(guān)系型數(shù)據(jù)庫(kù)Microsoft

SQL Server、Oracle與IBM DB2也只是部分兼容于標(biāo)準(zhǔn)。

結(jié)論

雖然有不同的歷史、引擎與工具，不過(guò)并沒(méi)有明確的參考能夠表明這兩個(gè)數(shù)據(jù)庫(kù)哪一個(gè)能夠適用于所有情況。很多組織喜歡使用PostgreSQL，因?yàn)樗目煽啃院茫诒Ｗo(hù)數(shù)據(jù)方面很擅長(zhǎng)，而且是個(gè)社區(qū)項(xiàng)目，不會(huì)陷入廠商的牢籠之中。MySQL更加靈活，提供了更多選項(xiàng)來(lái)針對(duì)不同的任務(wù)進(jìn)行裁剪。很多時(shí)候，對(duì)于一個(gè)組織來(lái)說(shuō)，對(duì)某個(gè)軟件使用的熟練程度要比特性上的原因更重要。

用于威脅狩獵的軟件分析工具

如果您對(duì)Wireshark、procmon和Windows Sysinternals不感興趣，那么您可能處于錯(cuò)誤的位置。

惡意軟件分析允許分析人員看到采取了什么行動(dòng)，并允許我們使用這些行動(dòng)來(lái)建立一個(gè)配置文件，可以用來(lái)檢測(cè)和阻止進(jìn)一步的感染，并找到相關(guān)的感染。 在實(shí)驗(yàn)室中運(yùn)行惡意軟件以確定它們的行為方式，我們給它們不同的輸入來(lái)觀察行為的變化，我們通過(guò)調(diào)試器運(yùn)行它們以禁用安全措施，并檢查它們可能具有的與對(duì)抗分析的功能，我們甚至可能使用反匯編器來(lái)更全面地了解惡意軟件可能采取的路徑。使用這些工具和技術(shù)，惡意軟件分析師建立一個(gè)指標(biāo)列表，可以用來(lái)檢測(cè)和阻止他們正在檢查的惡意軟件，建立信息誰(shuí)可能是他們的網(wǎng)絡(luò)目標(biāo)，甚至是惡意軟件可能收集什么。 我將把我的注意力集中在行為分析上，并給出一些例子來(lái)說(shuō)明威脅狩獵和這種技術(shù)可以做些什么。

一、惡意軟件的行為分析

行為分析是在受控條件下運(yùn)行惡意軟件的步驟，在此你可以觀察到惡意軟件所采取的行動(dòng)。通過(guò)在一個(gè)完全隔離的環(huán)境中運(yùn)行惡意軟件，我們可以知道如果它無(wú)法通信，它會(huì)做什么。通過(guò)行為分析，你可以一步一步地做每件事。當(dāng)它完全隔離時(shí)，它是否嘗試掃描網(wǎng)絡(luò)?如果是，那么繼續(xù)，將其添加到1，看看會(huì)發(fā)生什么。之后它會(huì)開(kāi)始尋找嗎?把它給它。這種類(lèi)型的分析的主要目標(biāo)是看在一個(gè)逐步的過(guò)程中惡意軟件做什么，允許你映射它的不同的行動(dòng)，并在你開(kāi)始檢查它在調(diào)試器或通過(guò)反匯編之前有一個(gè)更好的全面的惡意軟件的畫(huà)面。我想說(shuō)這是分析過(guò)程中比較有趣的部分之一。

二、用于惡意軟件分析的基本實(shí)驗(yàn)室環(huán)境

你的基本實(shí)驗(yàn)室環(huán)境應(yīng)該包括:

VMware/Virtualbox配置以下電腦:

安裝了Wireshark、進(jìn)程監(jiān)視器和procDOT的Windows。

REMnux(預(yù)裝了你需要的所有東西)

確保您的虛擬機(jī)被設(shè)置為僅網(wǎng)絡(luò)主機(jī)，并且通過(guò)設(shè)置一個(gè)靜態(tài)IP地址，您的windows機(jī)器將REMnux box作為默認(rèn)網(wǎng)關(guān)。這確保了第一個(gè)躍點(diǎn)將是REMnux，并將允許我們想要的流量控制。

三、惡意軟件分析工具

有幾個(gè)工具，你想使用，以收集最多的信息，你可以:

Wireshark:該工具用于收集給定接口上的網(wǎng)絡(luò)流量。以下選項(xiàng)將允許您查看頁(yè)面和流量，它甚至允許您重新創(chuàng)建和保存在包捕獲運(yùn)行時(shí)傳輸?shù)奈募?/p>

進(jìn)程監(jiān)視器(procmon)：這個(gè)工具用來(lái)記錄計(jì)算機(jī)在被監(jiān)視的時(shí)間內(nèi)的全部活動(dòng)。這對(duì)于詳細(xì)描述進(jìn)程所采取的操作非常有用。

ProcDOT:這個(gè)工具從進(jìn)程監(jiān)視器中獲取一個(gè)CSV，并可以將特定進(jìn)程所做的工作作為流程圖顯示給您。這樣就更容易解釋發(fā)生了什么，以及發(fā)生的順序。

FakeDNS:這個(gè)工具是REMnux中包含的腳本，它用自己的信息響應(yīng)所有DNS請(qǐng)求，并將請(qǐng)求的域輸出到終端。這對(duì)于確定連接到它的每臺(tái)計(jì)算機(jī)正在請(qǐng)求什么域非常有用。

accept-all-ips:這個(gè)工具也是REMnux中包含的腳本。這將把所有IP流量重定向到REMnux主機(jī)。如果在活動(dòng)環(huán)境中激活，將非常危險(xiǎn)，但對(duì)于強(qiáng)制傳輸?shù)椒治鰴C(jī)器非常有用。

INetSim:這是一個(gè)軟件套件，可以在web上模擬許多常見(jiàn)的服務(wù)/協(xié)議。如果需要的話，這個(gè)套件甚至可以為惡意軟件樣本提供良好的可執(zhí)行文件。

四、通過(guò)行為分析運(yùn)行惡意軟件

當(dāng)你運(yùn)行惡意軟件時(shí)，確保啟動(dòng)procmon和Wireshark在Windows主機(jī)上，總是在你啟動(dòng)惡意軟件之前。這樣可以確保你捕捉到所有的惡意軟件活動(dòng)。一旦你完成了惡意軟件，你將能夠保存procmon結(jié)果，并在procdDOT中打開(kāi)它們。這將讓你對(duì)惡意軟件的所作所為有一個(gè)很好的了解。確保檢查Wireshark以及任何未知的流量。一旦你可以看到它什么都不做，你可以重置你的windows機(jī)器并重新開(kāi)始。是的，每次操作都會(huì)重復(fù)重置，但您總是希望從一個(gè)干凈的環(huán)境開(kāi)始。當(dāng)你確定了惡意軟件要找的是什么，建立你的REMnux系統(tǒng)或清潔環(huán)境，給它想要的。您確實(shí)希望重復(fù)此操作，直到您無(wú)法確定它需要什么，或者它停止詢問(wèn)新內(nèi)容為止。在這一點(diǎn)上，你應(yīng)該有一個(gè)很好的IP地址，域名，文件等惡意軟件正在尋找，或接觸。

請(qǐng)確保對(duì)系統(tǒng)進(jìn)行調(diào)優(yōu)，以便對(duì)發(fā)現(xiàn)的這些指示器發(fā)出警報(bào)。您不希望因?yàn)橥洸檎覄倓傉业降男畔⒍鴮?dǎo)致類(lèi)似的感染。對(duì)于你所擁有的惡意軟件樣本，還有其他類(lèi)型的分析，但對(duì)于這一點(diǎn)，讓我們集中在下一步，看看我們的指標(biāo)列表可以幫助我們。

五、讓我們用惡意軟件分析來(lái)尋找威脅

一旦你確定了惡意軟件要尋找的是什么，你就有了一個(gè)開(kāi)始尋找其他威脅的好地方。在網(wǎng)絡(luò)上尋找其他可能具有類(lèi)似構(gòu)建的地方(即使它恰好是您的所有工作站)并進(jìn)行搜索。通過(guò)直接查詢?nèi)罩净蛲ㄟ^(guò)SIEM檢查系統(tǒng)日志，也可以使用類(lèi)似的活動(dòng)來(lái)發(fā)現(xiàn)威脅。如果你注意到惡意軟件在建立網(wǎng)絡(luò)連接時(shí)使用了一個(gè)非標(biāo)準(zhǔn)的用戶代理，那么通過(guò)你的代理日志查看該代理和類(lèi)似的代理可以很好地找到類(lèi)似的威脅。端口和域名也是如此。大多數(shù)時(shí)候，如果一個(gè)工具能用，用戶會(huì)堅(jiān)持使用它。部署惡意軟件的惡意行為者也是如此。如果我以WordPress為例，并不是說(shuō)它不是最安全的平臺(tái)，當(dāng)黑客攻擊發(fā)生時(shí)，通常會(huì)有一個(gè)文件被添加到一個(gè)include文件夾中，而惡意軟件可能會(huì)直接指向該文件。然后，最好在防火墻和代理顯示流量的域名中檢查類(lèi)似的路徑。這通常可以揭示您環(huán)境中的不同威脅。在這種類(lèi)型的搜索中要徹底。僅僅因?yàn)槟F(xiàn)在阻止了指示符和活動(dòng)并觸發(fā)了警報(bào)，并不意味著在您將這些檢查和塊就位之前，另一個(gè)系統(tǒng)不會(huì)受到影響。

確保你能訪問(wèn)發(fā)現(xiàn)惡意軟件的計(jì)算機(jī)的日志。如果你能獲得關(guān)于網(wǎng)絡(luò)流量的信息就更好了。使用這些和你在逆向工程后對(duì)惡意軟件的了解，你應(yīng)該能夠確定惡意軟件是否允許其他惡意活動(dòng)進(jìn)入網(wǎng)絡(luò)。如果是這樣，日志和網(wǎng)絡(luò)流應(yīng)該會(huì)給您一些線索，讓您知道還允許進(jìn)入哪些內(nèi)容，以及它是否使用計(jì)算機(jī)進(jìn)行了任何橫向移動(dòng)。

惡意軟件分析和威脅搜索是用來(lái)確保我們的網(wǎng)絡(luò)保持安全的兩個(gè)概念和技術(shù)。當(dāng)我們把這些概念聯(lián)系在一起時(shí)，我們可以更有效地確定威脅的范圍。行為分析只是惡意軟件分析過(guò)程中的一個(gè)步驟，可以提供幫助。更多類(lèi)型的惡意軟件分析和逆向工程，提供行為分析無(wú)法獲取的信息，您可以使用它們來(lái)進(jìn)一步搜索威脅。

如何選擇一款web漏洞掃描器

隨著網(wǎng)站業(yè)務(wù)所承載內(nèi)容的日益增多且重要性日益增強(qiáng)，網(wǎng)站本身的價(jià)值也越來(lái)越大，隨之由網(wǎng)站漏洞帶來(lái)的安全性問(wèn)題也愈發(fā)嚴(yán)峻。新開(kāi)通網(wǎng)站、新增專(zhuān)欄的準(zhǔn)入質(zhì)量評(píng)估，網(wǎng)站系統(tǒng)日常運(yùn)行狀況的檢查預(yù)防和風(fēng)險(xiǎn)掌控，這些已成為各行業(yè)每年安全大檢查中的關(guān)鍵要素。作為具體落實(shí)定期檢查工作的安全人員，也急需選擇一款優(yōu)秀的網(wǎng)站掃描產(chǎn)品進(jìn)行高效徹底的Web脆弱性評(píng)估檢查，而如何選擇一款真正實(shí)用的產(chǎn)品成為一個(gè)比較糾結(jié)的難題。

常見(jiàn)Web掃描方案的優(yōu)劣勢(shì)

目前常見(jiàn)的支持Web掃描解決方案的產(chǎn)品有很多，大家比較熟悉的有集成Web掃描模塊的多合一系統(tǒng)掃描器，網(wǎng)上可免費(fèi)下載的開(kāi)源掃描器軟件以及近幾年剛嶄露頭角的獨(dú)立Web掃描器產(chǎn)品等，都可以進(jìn)行一定程度的Web安全掃描和漏洞發(fā)現(xiàn)。那么面對(duì)如此琳瑯滿目的選擇時(shí)，大家如何細(xì)致區(qū)分辨識(shí)其差異，就需嚴(yán)格立足于實(shí)際需要，最終做出最佳的判斷。

多合一的系統(tǒng)掃描器，通常會(huì)集主機(jī)掃描、配置核查、Web掃描及弱口令掃描于一身，是一款強(qiáng)大全面的多功能產(chǎn)品。但多合一的高度封裝導(dǎo)致其在進(jìn)行安全掃描時(shí)，除不能分配全部計(jì)算資源在Web掃描方面，掃描引擎自身還要兼顧到全方位的權(quán)衡與調(diào)優(yōu)。反觀目標(biāo)Web應(yīng)用呈現(xiàn)的種類(lèi)多樣性、規(guī)模龐大性和運(yùn)行特殊性，在面對(duì)動(dòng)輒上萬(wàn)、十萬(wàn)甚至百萬(wàn)級(jí)別網(wǎng)頁(yè)數(shù)量的網(wǎng)站時(shí)，這種多合一產(chǎn)品就表現(xiàn)得差強(qiáng)人意，使用起來(lái)有種牛拉火車(chē)的感覺(jué);同時(shí)，高效執(zhí)行掃描評(píng)估就必須具備高并發(fā)的網(wǎng)頁(yè)鏈接爬蟲(chóng)識(shí)別和Web插件交互邏輯判斷能力，這一現(xiàn)實(shí)的沖突導(dǎo)致多合一掃描器在Web掃描及性能體驗(yàn)方面效果平平，優(yōu)勢(shì)不突出。

網(wǎng)上開(kāi)源的Web掃描器軟件，盡管完全免費(fèi)并可以發(fā)現(xiàn)一些基本的漏洞信息，但其在第一時(shí)間發(fā)現(xiàn)新爆Web漏洞和漏洞趨勢(shì)跟蹤分析、修補(bǔ)方面，完全不具備后期支撐能力。而且在人性化設(shè)計(jì)及低學(xué)習(xí)門(mén)檻方面也存在太多先天的不足，其性能與穩(wěn)定性更是與商業(yè)軟件相差甚遠(yuǎn)。

面對(duì)綜上同類(lèi)產(chǎn)品，困惑于Web掃描場(chǎng)景需求種種局限的我們，很欣喜地看到了近幾年聲名鵲起的Web掃描器產(chǎn)品。它作為一款自動(dòng)化評(píng)估類(lèi)工具，依據(jù)制定的策略對(duì)Web應(yīng)用系統(tǒng)進(jìn)行URL深度發(fā)現(xiàn)并全面掃描，尋找出Web應(yīng)用真實(shí)存在的安全漏洞，如跨站點(diǎn)腳本、SQL注入，命令執(zhí)行、目錄遍歷和不安全的服務(wù)器配置。Web掃描器產(chǎn)品可以通過(guò)主動(dòng)生成統(tǒng)計(jì)分析報(bào)告來(lái)幫助我們正確了解Web應(yīng)用漏洞的詳細(xì)分布、數(shù)量和風(fēng)險(xiǎn)優(yōu)先級(jí)，并對(duì)發(fā)現(xiàn)的安全漏洞提出相應(yīng)有力的改進(jìn)意見(jiàn)供后續(xù)修補(bǔ)參考，是幫助我們高效徹底地進(jìn)行Web脆弱性評(píng)估檢查的堅(jiān)實(shí)利器。

Web掃描器的三個(gè)誤區(qū)

針對(duì)現(xiàn)有市面上諸多品牌的Web掃描器，大家在評(píng)價(jià)它們孰優(yōu)孰劣時(shí)時(shí)常過(guò)于片面極端，主要表現(xiàn)為三個(gè)認(rèn)識(shí)誤區(qū)。

誤區(qū)1：多就是好!

認(rèn)為漏洞庫(kù)條目多，檢查出來(lái)的漏洞多就是好。Web掃描器面對(duì)龐大繁多、千差萬(wàn)別的應(yīng)用系統(tǒng)，為提升檢測(cè)性能，多采用高效率的Web通用插件，以一掃多，其不再局限于某個(gè)專(zhuān)門(mén)應(yīng)用系統(tǒng)，深層次聚合歸并，盡可能多地發(fā)現(xiàn)多種應(yīng)用系統(tǒng)的同類(lèi)漏洞。同時(shí)，對(duì)于掃描出來(lái)的非誤報(bào)漏洞，若同屬某一頁(yè)面不同參數(shù)所致的相同漏洞，歸納整理，讓最終呈現(xiàn)的漏洞報(bào)表簡(jiǎn)約而不簡(jiǎn)單，避免數(shù)量冗余、雜亂無(wú)章。故若以毫無(wú)插件歸并能力，僅靠大量專(zhuān)門(mén)Web系統(tǒng)插件、羅列各類(lèi)漏洞列表數(shù)量多來(lái)博取贊許的Web掃描器，其本質(zhì)存在太多的不專(zhuān)業(yè)性。

誤區(qū)2：快就是好!

認(rèn)為掃描速度快耗時(shí)短的就是好。網(wǎng)站規(guī)模日趨復(fù)雜，日常檢查時(shí)我們期待Web掃描器能有更高效率地完成掃描任務(wù)，這點(diǎn)無(wú)可厚非，但檢查的本質(zhì)是要最大限度地提前發(fā)現(xiàn)足夠多的漏洞，并第一時(shí)間制定后續(xù)相應(yīng)的修補(bǔ)計(jì)劃。故在面對(duì)同一目標(biāo)站點(diǎn)時(shí)，Web掃描器若能在單位時(shí)間內(nèi)檢測(cè)出來(lái)的有效存在漏洞數(shù)越多，這個(gè)快才是真的好。

誤區(qū)3：小就是好!

認(rèn)為掃描過(guò)程中對(duì)目標(biāo)業(yè)務(wù)影響小就是好!這句話本身也沒(méi)有問(wèn)題，只要Web掃描器在執(zhí)行掃描過(guò)程中，對(duì)目標(biāo)系統(tǒng)負(fù)載響應(yīng)和網(wǎng)絡(luò)鏈路帶寬占用，影響足夠小，也就是我們常說(shuō)的“無(wú)損掃描”，它就具備了一款優(yōu)秀Web掃描器應(yīng)有的先決條件。但是，這必須是在能最大限度發(fā)現(xiàn)Web漏洞的前提下才能考慮的關(guān)鍵因素，脫離這個(gè)產(chǎn)品本質(zhì)，就本末倒置了。

五個(gè)基本評(píng)優(yōu)標(biāo)準(zhǔn)

那么，評(píng)優(yōu)一款Web掃描器，我們?cè)搹暮翁幹?具體的判斷標(biāo)準(zhǔn)有哪些呢?

全——識(shí)別種類(lèi)繁多的Web應(yīng)用，集成最全的Web通用插件，通過(guò)全面識(shí)別網(wǎng)站結(jié)構(gòu)和內(nèi)容，逐一判斷每一種漏洞可能性，換句話說(shuō)，漏洞掃描的檢測(cè)率一定要高，漏報(bào)率務(wù)必低，最終才能輸出全面詳盡的掃描報(bào)告。這就要求其在Web應(yīng)用識(shí)別方面，支持各類(lèi)Web語(yǔ)言類(lèi)型(php、asp、.net、html)、應(yīng)用系統(tǒng)類(lèi)型(門(mén)戶網(wǎng)站、電子政務(wù)、論壇、博客、網(wǎng)上銀行)、應(yīng)用程序類(lèi)型(IIS、Apache、Tomcat)、第三方組件類(lèi)型(Struts2、WebLogic、WordPress)等;插件集成方面，支持國(guó)際標(biāo)準(zhǔn)漏洞分類(lèi)OWASP TOP 10和WASC插件分類(lèi)模板，允許自定義掃描插件模板，第一時(shí)間插件更新速度等。

準(zhǔn)——較高的漏洞準(zhǔn)確性是Web掃描器權(quán)威的象征，可視化分析可助用戶準(zhǔn)確定位漏洞、分析漏洞。而誤報(bào)是掃描類(lèi)產(chǎn)品不能回避的話題。Web掃描器通過(guò)通用插件與目標(biāo)站點(diǎn)任一URL頁(yè)面進(jìn)行邏輯交互，通過(guò)可視化的漏洞跟蹤技術(shù)，精準(zhǔn)判斷和定位漏洞，并提供易讀易懂的詳細(xì)整改分析報(bào)告。除此之外，一款好的Web掃描器還要更具人性化，在漏洞發(fā)現(xiàn)后，允許掃描者進(jìn)行手工、自動(dòng)的漏洞批量驗(yàn)證，進(jìn)而雙重保障較高的準(zhǔn)確性結(jié)果。

快——快速的掃描速度，才能在面對(duì)越來(lái)越大的網(wǎng)站規(guī)模，越發(fā)頻繁的網(wǎng)站檢查時(shí)游刃有余，進(jìn)度保障。一款快速的Web掃描器除了有強(qiáng)勁馬力的掃描引擎，高達(dá)百萬(wàn)/天的掃描速度，還要具備彈性靈活的集群掃描能力，任意增添掃描節(jié)點(diǎn)，輕松應(yīng)對(duì)可能苛刻的掃描周期時(shí)間要求。

穩(wěn)——穩(wěn)定可靠的運(yùn)行過(guò)程，對(duì)目標(biāo)環(huán)境近乎零影響的Web掃描器，才能在諸行業(yè)大面積投入使用，特別是一些對(duì)業(yè)務(wù)影響要求苛刻的行業(yè)會(huì)更受青睞，畢竟沒(méi)有人能夠接受一款評(píng)估類(lèi)產(chǎn)品，會(huì)對(duì)目標(biāo)造成額外的損傷。市面上現(xiàn)在已有一些Web掃描器產(chǎn)品，其通過(guò)周期探尋目標(biāo)系統(tǒng)，網(wǎng)絡(luò)鏈路，自身性能負(fù)載等機(jī)制，依據(jù)目標(biāo)環(huán)境的負(fù)載動(dòng)態(tài)變化而自動(dòng)調(diào)節(jié)掃描參數(shù)，從而保障掃描過(guò)程的足夠穩(wěn)定和幾乎零影響。此外，隨著網(wǎng)站規(guī)模，檢查范圍的不斷擴(kuò)大，保證持續(xù)穩(wěn)定的掃描執(zhí)行和統(tǒng)計(jì)評(píng)估，盡量避免掃描進(jìn)度的半途而廢，也提出了較高的可靠性運(yùn)行要求。

易——人性化的界面配置，低成本的報(bào)表學(xué)習(xí)和強(qiáng)指導(dǎo)性修補(bǔ)建議。尤其是漏洞分布詳情和場(chǎng)景重現(xiàn)方面，市面上大多數(shù)Web掃描器的報(bào)表都需要專(zhuān)業(yè)安全人員的二次解讀后，普通的安全運(yùn)維檢查人員才能看懂，才知道長(zhǎng)達(dá)百頁(yè)報(bào)表給出的重要建議和下一步的具體修補(bǔ)措施，這無(wú)疑給使用者造成了較高的技術(shù)門(mén)檻，那么如何解決此易讀、易用問(wèn)題，就成為評(píng)定其優(yōu)劣與否的一個(gè)重要指標(biāo)。

總之，一款優(yōu)秀的Web掃描器產(chǎn)品，它需要嚴(yán)格恪守五字核心方針，全、準(zhǔn)、快、穩(wěn)、易，做到全方位均衡，這樣才能做到基本優(yōu)秀。同時(shí)，隨著網(wǎng)站檢查訴求的日益多元化，它若能附帶一些差異化特性，滿足大家不同場(chǎng)景的網(wǎng)站安全運(yùn)維掃描要求，如網(wǎng)站基本信息搜集，漏洞全過(guò)程時(shí)間軸跟蹤，逐步可視化的漏洞驗(yàn)證和場(chǎng)景重現(xiàn)，自動(dòng)修補(bǔ)直通車(chē)等，定會(huì)大大增加該款掃描器的評(píng)優(yōu)力度。

網(wǎng)站題目：調(diào)優(yōu)wordpress tomcat調(diào)優(yōu)
文章出自：http://chinadenli.net/article2/dojgioc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站收錄、網(wǎng)站建設(shè)、外貿(mào)建站、電子商務(wù)、定制網(wǎng)站、用戶體驗(yàn)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)