記學習滲透測試之漏洞掃描一

working發表於2021-11-15
  • 漏洞是指存在於主機、系統或環境中的弱點與缺乏防護之處。對於威脅而言,漏洞的存在意味著潛在的突破點或目標。定位和識別系統中的漏洞是保護系統的重要環節,但不是唯一一環。

  • 那麼,如何發現環境中存在的所有漏洞(尤其是在技術日趨復東的背景下)?有許多技術手段可以提供幫助;有些是手動的或基於指令碼的,其中很多已經介紹過了,還有些是自動化工具(例如漏洞掃描器)。漏洞掃描器用於識別作業系統和應用程式中的問題和“漏洞”,其工作原理是透過檢查編碼、埠、變數、banner資訊和許多其他可能存在隱惠的領域來尋找問題。

  • 漏洞掃描器的用途是讓合法使用者(包括滲透測試者)使用其找出是否存在被成功攻陷的可能性,以及為緩解這種可能性所需的減小或者消除威脅區域的修復措施。儘管漏洞掃描器通常用於檢查應用軟體,但它們也可以檢查整個操作環境,包括網路和虛擬機器。

漏洞掃描簡介

  • 漏洞掃描是一套流程,可作為滲透測試的一部分,也可以完全獨立執行。此類掃描的目的在於定位和識別目標中的漏洞,並向掃描發起者提供相關資訊。如果正確地定期進行,漏洞掃描能夠提供關於組織設施安全狀況的寶貴資訊,包括其技術和管理策略。

  • 許多公司選擇使用漏洞掃描器,是因為它們可以很容易地識別多種常見的安全問題。其工作原理是透過檢查目標區域的編碼、埠及許多其他方面,以揭示攻擊者可能利用的任何問題。許多合法使用者使用漏洞掃描器查詢是否有被攻陷的可能性,以及需要進行何種工作以降低各種威脅。同時,駭客則使用這些掃描器來發現攻擊的目標。雖然漏洞掃描器往往最常用於程式,但它們也可以檢查整個計算機、網路和虛擬機器。

  • 駭客有許多潛入計算機的途徑:他們可以利用有缺陷的程式碼、開放埠或是容易獲取使用者訪問許可權的程式。公司使用漏洞掃描器以儘量降低被駭客攻擊的可能性。使用者可以指定一個目標區域,讓掃描程式專門針對計算機的這一部分進行掃描,透過對該區域的徹底檢查來發現問題。有些程式可以自動修復小錯誤,但大多數只是報告發現的問題。

  • 漏洞掃描器軟體的主要使用者群體是合法的,其中大多是企業使用者。初級使用者往往缺少正確修復問題的知識,因此漏洞掃描器通常並非是為他們設計的。漏洞掃描器更多用於企業和大型網路,對於這些使用者,漏洞可能導致直接的經濟損失或代價慘重的商業機密洩露。滲透測試者往往能從這些工具中獲益,因為利用這些工具,他們可以在工作中發現可能被利用的漏洞併為客戶提供資訊。漏洞掃描器最常用於定製程式或web應用程式(涉及多人同時工作的程式),因為它們往往會出現安全威脅。漏洞掃描器也適用於整個計算機、網路、埠、資料庫和虛擬機器。有些掃描器可用於掃描多種不同的目標區域,而有些掃描器只能夠檢查計算機的一個方面。

認識漏洞掃描的侷限性

  • 長期以來,漏洞掃描一直是安全專業人員的工具箱中的老牌常備品。然而,儘管是個有價值的工具並將繼續作為安全專業人員工具箱的重要組成部分,漏洞掃描也有其侷限性——正確理解這一點才能怡當地使用該找術,發揮其最大作用。需要牢記的是,漏洞是一個不斷髮展變化的問題,可以得到緩解控制,但還需要持續進行重新評估,以確保任何新問題都能得到及時應對(至少要注意保持對網路上當前安全問題的跟蹤)。對於這些掃描器,另一個應當記住的要點是:使用這些工具進行掃描的IT管理員或安全專家不應僅由於沒有發現其關注的問題就產生一種虛假的安全感。

  • 漏洞掃描器以不同的形式出現,每一種都能針對某個目標系統執行一種特有型別的掃描。某些低端掃描器只提供對系統配置(包括補丁程式和軟體版本資訊)進行檢查的能力:而高階掃描器則可能具備許多強大的特性,如高階報告、分析功能和其他有用的能力。

  • 無論其本身特性和整體功能如何,大多數掃描器都採用類似反悉意軟體工具包的模型。在大多數情況下,掃描器依賴於一個關於己知漏洞的資料庫,而該資料庫需要透過從供應商網站下載新版本實現定期更新。就像疫苗的強化注射一樣,該資料庫必須定期更新,否則它很快將無法檢測新出現的威脅,從而增加未檢測到的漏洞遭到利用的安全風險。實際上,如果不定期更新掃描器的話,那麼一段時間後它就將變得亳無價值。

  • 關於掃描器,還有一個更大的問題就是:即使應用了全部的當前更新和其他措施,確保了軟體的及時更新升級,掃描器還可能 “過於自信”一些使用者相信掃描器提供的報告列出了環境中的所有漏洞,因此基於該報告進行審查和處理就意味著萬事大吉———然而事實絕非如此。實際上,漏洞掃描器只會報告它有能力檢測的那些專案,因而仍然存在許多潛在問題被遺漏的可能性。這種情況有點類似於認為環繞著一座建築物檢查一遍問題就能發現其所有潛在的漏洞——事實當然不是這樣,很容易忽略某些東西。

  • 最後,另一個有關漏洞掃描器的易於產生的誤解是:只有在新聞中或其他訊息來源上報導了安全問題時,才需要使用它們。而實際上,掃描必須定期執行,以正確地發現問題,並確保當前採取的安全措施工作正常,能保持環境正常、 安全地執行。根據公司需要遵從的具體合規性要求,可能要依照固定的時間表執行漏洞掃描並進行驗證。例如,支付卡行業資料安全標準(PCI DSS)要求執行週期性的漏洞掃描,因此任何儲存、處理或傳輸信用卡資料的組織都要執行漏洞掃描。

本作品採用《CC 協議》,轉載必須註明作者和本文連結
理想的光照不到現實的黑暗,明燈是黑夜中的奢侈品。如果你接受不了真實生活千瘡百孔的消極,那麼,請移步兒童區...

相關文章