如何应对网络应用安全中的误报 媒体

应用安全中的误报及其影响

关键要点

什么是网络安全中的误报？

误报就像是家里的警报被触发但并没有小偷入侵。具体来说，在网络应用安全中，误报是指当一个网络应用安全扫描器错误地显示你的网页存在漏洞，比如 SQL 注入 或 跨站脚本 (XSS)，但实际上并不存在需修复的问题。在网络安全的其他领域，误报有时也是安全专业人士追逐的虚幻警报，让他们耗费无数精力寻找并不存在的网络攻击。

难怪误报是导致安全专业人员职业倦怠的主要原因之一。

误判漏报 是指那些确实存在但未被扫描器发现的漏洞。因为如果你无法事先知道安全漏洞，误判漏报的概念仅适用于基准或评估的人工测试环境 如需了解详细信息，请查看我们的误判漏报博客。

误报使网络应用安全变得不可承受

所有的应用安全工作都需要一个好的漏洞扫描器，无论是作为动态应用安全测试DAST的独立工具，还是作为手动渗透测试的辅助工具。在这两种情况下，大量的误报会使得保护网站资产的工作变得耗时且昂贵。

将安全测试自动化融入你的网页开发流程，并尽早进行测试是应用安全的最佳实践。要跟上软件创新的步伐，你需要自动将漏洞扫描结果反馈到开发工作流中，但如果这些结果包含误报，这一方法则行不通。如果你的团队无法信任扫描器，安全专家就不得不手动验证每一个扫描结果，这样不仅浪费了时间和金钱，还阻碍了整个开发过程。在典型的企业环境中，这将迅速带来高昂成本， 每年需达50万美元。

在渗透测试中，误报同样有害。当低质量扫描器产生大量误报时，安全专家会浪费宝贵的时间去调查无关紧要的问题，而不是专注于真正需要他们专业知识的漏洞。这可能使得一些组织将安全测试视为过于昂贵，从而导致安全覆盖不全，增加网络攻击的风险情况。

误报掩盖了真正的网络应用漏洞

人们往往会迅速开始忽视误报，应用安全专业人员也不例外。如果一个网络应用安全扫描器检测到 200 个跨站脚本漏洞，而安全工程师或渗透测试人员发现前 20 个变体都是误报，他们很可能会认为所有 XSS 报告都是误报而选择忽略。

误报让用户默认不信任所有扫描结果，并把常见问题视作噪音。这造成了一个巨大的安全隐患，因为真正的漏洞可能在测试中未被发现，从而让恶意黑客有可乘之机。由于这些漏洞被手动标记为误报，可能会长时间未被修复和报告，从而造成更大的安全威胁。

调查误报需要技巧与时间

每当安全工程师、渗透测试员或应用开发者需要调查误报扫描结果时，其效果取决于该人员的技能、经验和毅力。如果用户无法依赖其扫描结果，他们自然会认为任何他们无法找到或验证的内容都必须是误报。

实际上，尖端的漏洞扫描器整合了多年的应用安全研究和开发，因此它们能够并且确实能够报告特定用户可能错过或无法验证的漏洞。如果这些先进的漏洞被草率地当作误报处理，那么它们可能永远得不到修复，再次使得网络应用存在攻击风险。

对于非交互式网络资产如 API 来说，信任你的应用