系统漏洞扫描(你必须知道的几个漏洞扫描器)

漏洞扫描是指对暴露在外部或内部的受管系统、网络组件或应用程序进行漏洞检测。漏洞扫描器只是用来执行漏洞扫描的工具。

它根据漏洞数据库检查远程主机。漏洞数据库包含所有必需的信息(服务、端口、数据包类型、漏洞等)。).他们可以扫描成千上万的网络和网站漏洞，提供风险问题列表，并给出修复建议。

漏洞扫描器可用于:

安全审核员的安全评估

黑客的恶意攻击或对资产的未授权访问。

应用前测试

目前流行的漏扫功能有:

漏洞不断更新。

减少误报

同时扫描多个目标

提供详细的结果报告。

修复中漏洞的建议

结构图

扫描仪的组成

漏洞扫描程序分为四个部分:

用户界面:这是与用户交互、运行或配置扫描的界面。这可以是图形用户界面(GUI)或命令行界面(CLI)。

扫描引擎:扫描引擎根据安装和配置插件执行扫描。

扫描数据库:扫描数据库存储扫描仪所需的数据。这可能包括漏洞信息、插件、漏洞修复措施、CVE-ID连接(常见漏洞和隐患)、扫描结果等。

报告模块:报告模块提供生成详细报告、漏洞列表、图形报告和其他不同类型报告的选项。

类型

扫描仪可以分为两类。

外网:一些暴露在互联网上的资产，比如开放80端口或者443端口提供web服务。很多管理员以为自己有边界防火墙，就安全了，其实不一定。防火墙可以通过规则阻止对网络的非授权访问，但是如果攻击者发现可以通过80端口或者443端口攻击其他系统，比如最近很流行的SSRF。在这种情况下，防火墙可能无法保护您。

因此，有必要检测外部网络资产中可能允许攻击者获得内部网络访问权限的漏洞。

内网:并不是所有的攻击都来自外网，但是黑客和恶意软件也可以存在于内网。例如:通过网络和移动存储介质传播病毒；对内网权利不满的员工；具有内部网入口的外部攻击者。

所以内网扫描同样重要。内网扫描的目标可能包括核心路由器、交换工作站、web服务器、数据库等。

我应该多久运行一次扫描？

每天都有很多新发现的漏洞。每发现一个新的漏洞都会增加风险。因此，定期扫描资产非常重要，这样可以更早地发现安全问题，抵御潜在的攻击。

对于如何定期运行漏洞扫描，没有明确的数字，因公司规模而异。扫描的频率可能取决于以下几点:

资产的重要性:应该更频繁地扫描更关键的资产，以便它们可以修复最新的漏洞。

暴露:识别和扫描暴露给许多用户的组件。这可以是外部或内部资产。

修改现有环境:在对现有环境进行任何修改后，无论是添加新的组件还是资产，都应该执行漏洞扫描。

PCI和漏洞扫描

支付卡行业数据安全标准(PCI DSS)是一项要求，所有处理、存储或传输信用卡信息的公司都必须维护一个安全的环境。支付卡行业安全标准委员会(PCI SSC)于2006年9月7日成立，旨在提高交易过程的安全性。PCI DSS要求所有信用卡接收商户定期扫描其业务网络和应用程序的漏洞，以识别潜在的安全漏洞。

根据PCI DSS要求和安全评估程序文件:

11.2内部和外部网络漏洞扫描应至少每季度进行一次，或在网络发生任何重大变化(如安装新的系统组件、网络拓扑变化、修改防火墙规则和产品升级)后进行。

外部扫描:PCI要求对所有面向互联网的IP地址进行漏洞扫描。这些扫描应该在公司网络之外进行。扫描只能由PCI SSC授权扫描供应商(ASV)执行。

内部扫描:PCI要求对持卡人数据环境中的所有内部组件进行漏洞扫描。这提供了内部网的当前安全状况，并指出攻击者在获得内部访问权后可以利用的漏洞。内部扫描必须由合格人员进行，但不一定需要ASV。

通过自动非侵入式扫描仪实现外部和内部扫描，确定操作系统、设备和应用的安全漏洞。ASVS使用的一些扫描仪包括Qualys和Nessus。我们将在文章的后面讨论这两家公司的扫描仪。

为了符合标准，必须修复扫描程序报告的漏洞。对于外部扫描，必须修复所有评级为“中”或更高的安全漏洞。对于内部扫描，只需要修复“严重”和“高”级别的漏洞。然后重新运行漏洞扫描，以确认报告的漏洞是否已修复。根据PCI DSS标准，PCI扫描必须每季度进行一次。大多数公司会定期扫描以检查是否存在最新的安全漏洞。

VS免费支付

关于使用付费扫描仪和免费扫描仪，没有明确的答案。很多漏洞扫描器都可以在网上下载，包括免费和付费的。诸如burpsuite和nessus等工具的免费版本通常用于渗透测试，但在某些地方强制使用商业扫描仪。该扫描仪的免费版本有某些限制，如下所示:

扫描范围的限制:不能覆盖应用的所有部分。

虚警率:但与虚警相比，虚警更严重。

攻击次数和新旧:免费版本数量少，不一定更新到最新。商务版没有这个问题。

能不能生成详细的报告:很多扫描仪都支持生成报告，但是免费版就不一定了。

附加功能:这包括交互式管理控制台，便于漏洞跟踪、按需监控、专业软件支持、漏洞管理等。

名次排列表

Nessus:中最流行的漏洞扫描器。支持认证和非认证扫描，包括网络漏洞扫描、内部和外部PCI扫描、恶意软件扫描、移动设备扫描、策略合规性审计、Web应用程序测试、补丁审计等。它使用70，000多个插件来扫描目标主机。

Nessus有两个版本，家庭版和专业版。免费版有一定的局限性，比如扫描范围、插件数量、专业程序支持等。

Open vas:Open Vulnerability Assessment System(Open vas)是一个框架，通过几个服务和工具提供了一个全面而强大的漏洞扫描和漏洞管理解决方案。它是开源和免费的。它是一个带有网络接口的客户机-服务器体系结构。服务器组件用于计划扫描和管理插件，客户端组件用于配置扫描和访问报告。

自定义插件支持:OpenVAS scanner支持自定义插件，用户可以在其中编写Nessus攻击脚本语言(NASL)的插件。

认证扫描:在认证扫描中，用户提供目标主机的凭证，以便扫描器可以登录并扫描主机中安装的组件(Adobe Reader、Wireshark等)的漏洞。).

报告导出:OpenVAS提供了几个选项来生成报告。用户可以生成和下载HTML、XML、TXT和PDF格式的报告。

端口扫描程序:OpenVAS提供了多种端口扫描方法。它包括TCP扫描、SYN扫描、定位IPSec的IKE扫描、VPN等。

安全性:OpenVAS支持并启用安全检查扫描。在这种模式下，扫描程序将依赖于远程主机的标识，而不是将所有有效负载发送到远程主机。对于在默认扫描过程中崩溃的旧主机来说，这是一个不错的选择。

QualysGuard:QualysGuard是一个基于私有云的软件即服务(SaaS)。Web界面可用于登录门户网站，并在任何地方使用服务。该工具包包括网络发现、资产映射、漏洞评估、报告和补救跟踪。内网扫描通过Qualys设备进行通信，由基于云的系统进行处理。

确认订阅后，通过门户网站访问云服务。

Burpsuite:burp是基于java编写的web应用安全测试工具，将不同的测试工具集成到一个平台上。它有免费版和商业版。免费版的Burp有以下功能:拦截代理、蜘蛛、中继器、定序器、入侵者。有些功能是商业版独有的:扫描仪、扩展、保存当前状态以备后用，以及支持导出报告。

OWASP ZAP:OWASP ZAP是一个基于Java的跨平台开源Web应用安全评估工具。主要功能包括:拦截代理、爬虫、主动和被动扫描、保存当前状态以备后用、支持导出报告。

Acunetix Web漏洞扫描程序:Acunetix网络漏洞扫描程序是一个自动化的应用程序安全测试工具。它专门用于扫描安全问题，如SQL注入、跨站点脚本、目录遍历、操作系统命令注入等。允许用户扫描SANS top 20或OWASP top 10中的漏洞。有两个版本的Wvs，免费和商业。的免费版是14天评估版，可以扫描所有漏洞，但不会显示漏洞的具体位置。安装非常简单，容易理解。主要功能包括:扫描、漏洞检测、调度任务扫描、网站爬虫、子域扫描、C段web服务探索、HTTP包编辑。

NetSparker:Netsparker也是一个Web应用程序安全扫描器。其中，这款扫描仪的独特功能是通过成功使用或以其他方式测试，试图降低误报率。如果扫描程序可以利用此漏洞，它会将其列在报告的确认部分。它有三个版本，即社区版，标准版和专业版。社区版是免费的评估产品。标准版仅限于三个网站，这意味着我们只允许扫描三个网站。专业版允许扫描无限的网站。

其主要功能包括:易用、爬虫、内部确认引擎确认漏洞是否可被利用、报告导出。

结论

漏洞扫描器可以节省您的时间，但我们不能完全依赖它们。没有任何工具可以发现网络或web应用程序中的每个漏洞。如果可能的话，使用多台自动扫描仪来减少出错的可能性。Web漏洞扫描程序在应用程序中找不到业务逻辑问题。这些漏洞非常严重，需要手动测试。所以最好的方法是运行一个漏洞扫描器，手动测试。