蓝盟IT外包聊聊“漏洞检测”-IT外包官网-蓝盟集团

蓝盟IT外包聊聊“漏洞检测”

发布者：上海IT外包来源：http://www.lanmon.net点击数：2428

在运营阶段，常常会爆发很多新型漏洞或第三方组件漏洞，这些漏洞在开发阶段通常可能没有被发现或公开，或者在做运维配置时使用了弱口令等，这是今后安全问题发生的严重隐患，所以周期性的漏洞巡检必不可少。按照漏洞检测方式的不同，漏洞大致可以被分为以下3种类型。
网络漏洞：可以通过对端口直接进行远程扫描而发现的漏洞，如OpenSSH远程溢出漏洞、MySQL弱口令等。主机漏洞：只能在本地利用和检测的漏洞，如Linux内核提权、glibc漏洞提权等。

网站漏洞：需要通过爬虫和遍历网站页面提取URL和参数才能检测的漏洞，如SQL注入、XSS跨站、命令执行、SSRF等。由于软件或系统没有及时更新而导致的漏洞攻击案例比比皆是，如不少互联网企业和银行机构皆因Struts2漏洞而导致网站沦陷。除此之外，还会出现诸多由于运维配置不当而导致的安全问题，如Elasticsearch的默认配置为无须登录便可以直接访问数据库，显然，该配置会造成数据泄露，ldap默认配置无须登录可以读取一些目录信息等，为了避免类似的网络漏洞威胁到企业的安全，对网络漏洞进行日常的扫描是必不可少的工作，常见的网络漏洞扫描软件有Nessus、OpenVAS、CoreImpact、Nexpose等。另外还有一些专项扫描工具，如端口扫描工具有nmap、zmap、masscan，口令暴力破解工具有medusa、hydra。

主机漏洞：很多互联网公司的主机在安装Linux系统后便很少进行升级，因此存在大量可在本地利用的安全漏洞。黑客通过Web渗透入侵后比较容易利用这些漏洞获取root最高权限。美国国家标准与技术研究院（NIST）针对主机漏洞提出了SCAP（SecurityContentAutomationProtocol），即安全内容自动化协议，还建立了信息安全类产品的SCAP兼容性认证机制。SCAP1.0版本包含6种SCAP元素：XCCDF、OVAL、CVE、CCE、CPE、CVSS。这6种SCAP元素又被分为以下3种类型。
语言类：用来描述评估内容和评估方法的标准，包括XCCDF和OVAL（SCAP1.2版本中添加了OCIL元素）。
枚举类：用来描述评估对象或配置项命名格式，并提供遵循这些命名的库，包括CVE、CCE、CPE。
度量类：提供了对评估结果进行量化评分的度量方法，对应的元素是CVSS（SCAP1.2版中添加了CCSS元素）。
网站漏洞，在所有类型的漏洞中风险最大，常见的有不时爆出的Java框架漏洞（如Struts2s045和SpringCVE20181273），也有与WebServer相关的漏洞（如TomcatCVE201712615和WebLogicWLS组件CVE201710271的远程代码执行漏洞），还有程序开发中的安全漏洞（如逻辑漏洞、越权漏洞等）。常见的网站漏洞扫描产品有Acunetix、AppScan、HPWebInspect等。一款好的网站漏洞扫描产品除了要有比较丰富的漏洞库，还需要有很好的URL和参数提取、爬虫及参数去重等能力，这就需要较强的Web2.0交互技术的支持，如自动化点击、智能化Web表单填写。当然，现在也有不少被动模式的代理扫描产品，无须较好的爬虫能力就可以提取扫描参数，但此类产品的使用场景有限，不适合扫描第三方网站。

漏洞检测，漏洞管理已经成为了企业不能不面对的艰巨挑战，如需相关咨询请联系蓝盟IT外包获取免费咨询。

文/上海蓝盟 IT外包专家

上一篇: 中小企业喜获“上海市质量金奖” ，蓝盟IT外包以匠心品质树立行业标杆
下一篇: 蓝盟紧急提醒：近期大量企业中招勒索病毒，数据死锁，损失严重！
分享到：

微软云

IT采购

弱电工程

系统集成

客户故事

蓝盟IT外包聊聊“漏洞检测”

400-635-8089