记学习渗透测试之漏洞扫描一
53 / 0 / 创建于 2年前 /
working 的个人博客
实施漏洞扫描
漏洞是指存在于主机、系统或环境中的弱点与缺乏防护之处。对于威胁而言,漏洞的存在意味着潜在的突破点或目标。定位和识别系统中的漏洞是保护系统的重要环节,但不是唯一一环。
那么,如何发现环境中存在的所有漏洞(尤其是在技术日趋复东的背景下)?有许多技术手段可以提供帮助;有些是手动的或基于脚本的,其中很多已经介绍过了,还有些是自动化工具(例如漏洞扫描器)。漏洞扫描器用于识别操作系统和应用程序中的问题和“漏洞”,其工作原理是通过检查编码、端口、变量、banner信息和许多其他可能存在隐惠的领域来寻找问题。
漏洞扫描器的用途是让合法用户(包括渗透测试者)使用其找出是否存在被成功攻陷的可能性,以及为缓解这种可能性所需的減小或者消除威胁区域的修复措施。尽管漏洞扫描器通常用于检查应用软件,但它们也可以检查整个操作环境,包括网络和虛拟机。
漏洞扫描简介
漏洞扫描是一套流程,可作为渗透测试的一部分,也可以完全独立执行。此类扫描的目的在于定位和识别目标中的漏洞,并向扫描发起者提供相关信息。如果正确地定期进行,漏洞扫描能够提供关于组织设施安全状况的宝贵信息,包括其技术和管理策略。
许多公司选择使用漏洞扫描器,是因为它们可以很容易地识别多种常见的安全问题。其工作原理是通过检查目标区域的编码、端口及许多其他方面,以揭示攻击者可能利用的任何问题。许多合法用户使用漏洞扫描器查找是否有被攻陷的可能性,以及需要进行何种工作以降低各种威胁。同时,黑客则使用这些扫描器来发现攻击的目标。虽然漏洞扫描器往往最常用于程序,但它们也可以检查整个计算机、网络和虛拟机。
黑客有许多潜入计算机的途径:他们可以利用有缺陷的代码、开放端口或是容易获取用户访问权限的程序。公司使用漏洞扫描器以尽量降低被黑客攻击的可能性。用户可以指定一个目标区域,让扫描程序专门针对计算机的这一部分进行扫描,通过对该区域的彻底检查来发现问题。有些程序可以自动修复小错误,但大多数只是报告发现的问题。
漏洞扫描器软件的主要用户群体是合法的,其中大多是企业用户。初级用户往往缺少正确修复问题的知识,因此漏洞扫描器通常并非是为他们设计的。漏洞扫描器更多用于企业和大型网络,对于这些用户,漏洞可能导致直接的经济损失或代价惨重的商业机密泄露。渗透测试者往往能从这些工具中获益,因为利用这些工具,他们可以在工作中发现可能被利用的漏洞并为客户提供信息。漏洞扫描器最常用于定制程序或web应用程序(涉及多人同时工作的程序),因为它们往往会出现安全威胁。漏洞扫描器也适用于整个计算机、网络、端口、数据库和虚拟机。有些扫描器可用于扫描多种不同的目标区域,而有些扫描器只能够检查计算机的一个方面。
认识漏洞扫描的局限性
长期以来,漏洞扫描一直是安全专业人员的工具箱中的老牌常备品。然而,尽管是个有价值的工具并将继续作为安全专业人员工具箱的重要组成部分,漏洞扫描也有其局限性——正确理解这一点才能怡当地使用该找术,发挥其最大作用。需要牢记的是,漏洞是一个不断发展变化的问题,可以得到缓解控制,但还需要持续进行重新评估,以确保任何新问题都能得到及时应对(至少要注意保持对网络上当前安全问题的跟踪)。对于这些扫描器,另一个应当记住的要点是:使用这些工具进行扫描的IT管理员或安全专家不应仅由于没有发现其关注的问题就产生一种虚假的安全感。
漏洞扫描器以不同的形式出现,每一种都能针对某个目标系统执行一种特有类型的扫描。某些低端扫描器只提供对系统配置(包括补丁程序和软件版本信息)进行检查的能力:而高端扫描器则可能具备许多强大的特性,如高级报告、分析功能和其他有用的能力。
无论其本身特性和整体功能如何,大多数扫描器都采用类似反悉意软件工具包的模型。在大多数情况下,扫描器依赖于一个关于己知漏洞的数据库,而该数据库需要通过从供应商网站下载新版本实现定期更新。就像疫苗的强化注射一样,该数据库必须定期更新,否则它很快将无法检测新出现的威胁,从而增加未检测到的漏洞遭到利用的安全风险。实际上,如果不定期更新扫描器的话,那么一段时间后它就将变得亳无价值。
关于扫描器,还有一个更大的问题就是:即使应用了全部的当前更新和其他措施,确保了软件的及时更新升级,扫描器还可能 “过于自信”一些使用者相信扫描器提供的报告列出了环境中的所有漏洞,因此基于该报告进行审查和处理就意味着万事大吉———然而事实绝非如此。实际上,漏洞扫描器只会报告它有能力检测的那些项目,因而仍然存在许多潜在问题被遗漏的可能性。这种情况有点类似于认为环绕着一座建筑物检查一遍问题就能发现其所有潜在的漏洞——事实当然不是这样,很容易忽略某些东西。
最后,另一个有关漏洞扫描器的易于产生的误解是:只有在新闻中或其他消息来源上报道了安全问题时,才需要使用它们。而实际上,扫描必须定期执行,以正确地发现问题,并确保当前采取的安全措施工作正常,能保持环境正常、 安全地运行。根据公司需要遵从的具体合规性要求,可能要依照固定的时间表执行漏洞扫描并进行验证。例如,支付卡行业数据安全标准(PCI DSS)要求执行周期性的漏洞扫描,因此任何存储、处理或传输信用卡数据的组织都要执行漏洞扫描。
本作品采用《CC 协议》,转载必须注明作者和本文链接
关于 LearnKu
粤公网安备 44030502004330号
推荐文章: