網(wǎng)站制作中，會有各種各樣的問題，網(wǎng)站漏洞是當(dāng)前危害網(wǎng)絡(luò)的最重要的一項，漏洞掃描器的出現(xiàn)為修補漏洞提供了好的條件，漏洞掃描儀的發(fā)展趨勢是什么樣的，對于漏洞的等級又是怎么區(qū)分的呢？

　　漏洞掃描軟件從最初的專門為UNIX系統(tǒng)編寫的一些只具有簡單功能的小程序，發(fā)展到現(xiàn)在，已經(jīng)出現(xiàn)了多個運行在各種操作系統(tǒng)平臺上、具有復(fù)雜功能的商業(yè)程序。今后的發(fā)展趨勢主要有以下幾點，可以根據(jù)實際Web信息系統(tǒng)風(fēng)險評估的需求進行選用：

　　1.使用插件或者叫功能模塊技術(shù)。每個插件都封裝一個或者多個漏洞的測試手段，主掃描程序通過調(diào)用插件的方法來執(zhí)行。僅僅是添加新插件就可以使軟件增加新功能，掃描更多漏洞。在插件編寫規(guī)范公布的情況下，用戶或者第三方公司甚至可以自己編寫插件來擴充軟件功能。同時這種技術(shù)使軟件升級維護都變得簡單，并具有非常強的擴展性。

 

　2.使用專用腳本語言。這其實就是一種更為高級的插件技術(shù)，用戶可以使用專用腳本語言來擴充軟件功能。這些腳本語言語法通常都比較簡單易學(xué)，往往用十幾行代碼就可以定制成一個簡單的測試，為軟件添加新的測試項。腳本語言的使用，簡化了編寫新插件編程的工作，使擴充軟件功能工作變得更加容易，也更加有趣。

　　3.由漏洞掃描程序到安全評估專家系統(tǒng)。最早的漏洞掃描程序只是簡單地把各個掃描測試項的執(zhí)行結(jié)果排列出來，直接提供給測試者而不對信息進行任何分析處理。當(dāng)前較成熟的掃描系統(tǒng)都能將對單個主機的掃描結(jié)果整理，形成出報表，能夠?qū)唧w漏洞提出一些解決方法。不足之處是對網(wǎng)絡(luò)的狀況缺乏一個整體的評估，對網(wǎng)絡(luò)安全沒有系統(tǒng)的解決方案。未來的安全掃描系統(tǒng)，應(yīng)該不但能夠掃描安全漏洞，還能夠智能化協(xié)助網(wǎng)絡(luò)信息系統(tǒng)管理人員評估本網(wǎng)絡(luò)的安全狀況，給出安全建議，成為一個安全評估專家系統(tǒng)。

　　在實現(xiàn)了對Web信息系統(tǒng)安全掃描之后，便可依據(jù)掃描結(jié)果，對Web信息系統(tǒng)的安全性能進行評估，從而給出Web信息系統(tǒng)的風(fēng)險狀況。風(fēng)險評估的依據(jù)是根據(jù)掃描結(jié)果，根據(jù)Web信息系統(tǒng)所具有的漏洞數(shù)目及漏洞的危害程度，將Web信息系統(tǒng)的安全狀態(tài)進行分級?！級：掃描結(jié)果顯示沒有漏洞，但這并不表明系統(tǒng)沒有漏洞，因為有許多漏洞是尚未發(fā)現(xiàn)的，我們只能針對已知的漏洞進行測試。

　　B級：具有一些泄漏服務(wù)器版本信息之類的不是很重要內(nèi)容的漏洞，或者提供容易造成被攻擊的服務(wù)，如允許匿名登錄，這種服務(wù)可能會造成許多其它漏洞。

　　C級：具有危害級別較小的一些漏洞，如可以驗證某賬號的存在，可以造成列出一些頁面目錄、文件目錄等，不會造成嚴重后果的漏洞。

　　D級：具有一般的危害程度的漏洞。如拒絕服務(wù)漏洞，造成Web信息系統(tǒng)不能正常工作；可以讓黑客獲得重要文件的訪問權(quán)的漏洞等。

　　E級：具有嚴重危害程度的漏洞。如存在緩沖區(qū)溢出漏洞，存在木馬后門，存在可以讓黑客獲得根用戶權(quán)限或根用戶的shell漏洞，根目錄被設(shè)置一般用戶可寫等一些后果非常嚴重的漏洞。

---