说一说漏洞扫描

2020-09-11 15:04:08 5570

说一说漏洞扫描

漏洞扫描一般指扫描暴露在外网或者内网里的系统、网络组件或应用程序,检测其中的漏洞或安全弱点,而漏洞扫描器则是用来执行漏洞扫描的工具。漏洞扫描器一般基于漏洞数据库来检查远程主机,漏洞数据库包含了检查安全问题的所有信息(服务、端口、包类型、潜在的攻击路径,等等)。它可以扫描网络和网站上的上千个漏洞,提供一个风险列表,以及补救的建议。

 

下列人员会用到漏洞扫描器:

安全审计人员在进行安全审计时。

恶意攻击者或者黑客在攻击目标、获取非法访问时。

程序开发团队在发布环境中部署产品之前。

 

流行的扫描工具包含下面的功能:

1.维护一个包含最新漏洞的数据库。

2.以较低的误报率检测出漏洞。

3.同时扫描多个目标。

4.提供详细的报告,包括请求和响应对。

5.提供修复漏洞的建议。

 

架构(扫描器的组件)

图片1.jpg

 

漏洞扫描可以分成四个部分:

1、用户接口:用户通过这个接口运行和配置一个扫描。这可以是图形界面(GUI)也可以是命令行接口(CLI)。

2、扫描引擎:扫描引擎通过安装和配置的插件来执行扫描。

3、扫描数据库:扫描数据库保存了扫描器需要的数据。包括,漏洞信息、插件、消除漏洞的步骤、CVE-ID映射(常见的漏洞)、扫描结果,等等。

4、报告模块:报告模块提供了不同的选项,可以生成不同类型的报告。比如,详细报告、漏洞列表、图形化报告,等等。

 

扫描可以分成两类

外网扫描:有一些设备和资产是暴露在互联网的。大部分的机构都开放了80或者443端口,这样人们可以通过互联网访问他们的网站。许多管理员觉得他们实现了边界防火墙,这样他们就很安全了。但是,并不总是这样的。防火墙可以依据定义的规则和策略阻止对网络的非授权访问,但是如果攻击者找到了通过这些端口(比如80或者443)攻击其它系统的方法,防火墙就不能保护你了,因为利用这些端口,攻击者就自动绕过了防火墙,进入了你的网络。

外部扫描是重要的,它检测那些面向互联网的资产的漏洞。攻击者通过这些漏洞可以访问内网。外部扫描可以通过在互联网机器上运行漏洞扫描器来实现。最好在攻击者利用已公开的安全问题和漏洞之前,就消除它们。

内网扫描:并不是所有的攻击都来自外部网络。黑客和恶意软件也可以在内网中出现。通过以下方式,就可以访问内网:

恶意软件或者病毒通过互联网或者USB下载到网络中

一个可以访问内网的不满的员工

外部的黑客获取了访问内部网络的权限

因此,在内网里运行漏洞扫描器也同样重要。在内网的一台机器上运行漏洞扫描器,可以对网络中的关键组件进行扫描。重要的组件包括核心路由器、交换机、工作站、web服务器、数据库,等等。

 

多久扫描一次?

每天都有很多新漏洞被发现。每个新的漏洞都会增加危险。因此,定期扫描资产非常重要。发现最新的安全问题可以帮助机构关闭安全漏洞,抵御攻击。

多久执行一次漏洞扫描并没有确定的数字。根据机构的不同而不同。

 

扫描的频率基于以下几点:

资产的重要性:越重要的资产扫描应该越频繁,这样就能打上最新的补丁。

曝光度:识别和扫描那些暴露给大量用户的组件。这可以是外部和内部资产。

变动现存环境时:对现存环境的任何修改,增加新的组件和资产等,都应该进行漏洞扫描。

 

免费 vs 收费

并没有确定的答案来回答使用免费、开源的漏洞扫描器还是商业扫描器。在互联网上可以下载到许多可用的漏洞扫描器。一些是免费的,还有一些是收费的版本。免费版本的工具,比如Burp、Nessus等,在渗透测试常会用到。但是在一些场合,强制使用商业版。免费版本的漏洞扫描器可以在初步安全扫描时使用,但是他们也有一些限制:

扫描范围:免费的扫描器在扫描范围上有限制。在比较高的层级上扫描,不能覆盖到应用程序的所有部分。

精确性:可能会导致漏报,发现不了存在的安全问题。与误报相比,这个更为严重。

支持所有的攻击和输入载荷:免费的扫描支持的攻击和输入载荷与付费版相比要少。付费版的漏洞和载荷数据库会定期更新,能检查最新的漏洞。

支持详细的报告:大部分扫描器都支持报告功能,但是免费版的扫描也许不能够生成包含有请求-响应对、修补方法、补丁下载链接等详细内容的报告。

 

蓝队云漏洞扫描采用旁路部署, 部署方式灵活简单、安全,不会对客户业务连续性造成任何影响。 并且运用智能页面爬取、资源动态调节、代理缓存机制和实时任务调度等技术,实现了对大规模网站的快速、稳定的扫描。


提交成功!非常感谢您的反馈,我们会继续努力做到更好!

这条文档是否有帮助解决问题?

非常抱歉未能帮助到您。为了给您提供更好的服务,我们很需要您进一步的反馈信息:

在文档使用中是否遇到以下问题: