中国无码人妻丰满熟妇啪啪软件,国产成人精品久久亚洲高清不卡

漏洞掃描是指對暴露在外部或內(nèi)部托管系統(tǒng)、網(wǎng)絡(luò)組件或應(yīng)用程序進(jìn)行漏洞檢測。漏洞掃描器是正是用來執(zhí)行漏洞掃描的工具。
其是以漏洞數(shù)據(jù)庫為基礎(chǔ) ，對遠(yuǎn)程主機(jī)進(jìn)行檢查。該漏洞數(shù)據(jù)庫包含所有需要的信息（服務(wù)，端口，數(shù)據(jù)包類型，漏洞利用程序等）。他們可以掃描數(shù)以千計(jì)的網(wǎng)絡(luò)和網(wǎng)站漏洞，提供風(fēng)險(xiǎn)問題清單，并給出修復(fù)建議。
漏洞掃描器可以用來做：

安全審計(jì)師的安全評估
黑客的對資產(chǎn)的惡意攻擊或者未授權(quán)訪問。
應(yīng)用上線前測試

目前流行的漏掃的特點(diǎn)是：

漏洞數(shù)據(jù)庫不斷更新
減少誤報(bào)
同時(shí)掃描多個(gè)目標(biāo)
提供詳細(xì)的結(jié)果報(bào)告
漏洞的修復(fù)建議

結(jié)構(gòu)圖

文章插圖
掃描器的組成
漏洞掃描器分為四個(gè)部分：
用戶界面：這是與用戶進(jìn)行交互，運(yùn)行或配置掃描的接口。這可以是一個(gè)圖形用戶界面（GUI）或命令行界面（CLI）。
掃描引擎：掃描引擎基于該安裝和配置插件執(zhí)行掃描。
掃描數(shù)據(jù)庫：掃描數(shù)據(jù)庫存儲掃描器所需的數(shù)據(jù) 。這可能包含漏洞信息，插件，漏洞修復(fù)措施，CVE-ID連接（常見漏洞和隱患），掃描結(jié)果等。
報(bào)告模塊：報(bào)告模塊提供生成一個(gè)詳細(xì)的報(bào)告的選項(xiàng)，漏洞的列表，圖形報(bào)表等不同類型的報(bào)告。
類型
掃描器可以被分為兩類。
外網(wǎng)：一些暴露在互聯(lián)網(wǎng)上的資產(chǎn) ，如開放了80端口或者443端口提供web服務(wù) 。許多管理員認(rèn)為他們有一個(gè)邊界防火墻，所以他們是安全的，但其實(shí)并不一定。防火墻可以通過規(guī)則防止未經(jīng)授權(quán)的訪問網(wǎng)絡(luò)，但是如果攻擊者發(fā)現(xiàn)可以通過80端口或者443端口來攻擊其他系統(tǒng)，比如最近很火的SSRF 。在這種情況下防火墻可能無法保護(hù)你。
因此檢測那些可能會讓攻擊者獲得內(nèi)網(wǎng)訪問權(quán)限的外網(wǎng)資產(chǎn)的漏洞非常必要。
內(nèi)網(wǎng)：不是所有的攻擊都來自外部網(wǎng)絡(luò)，黑客和惡意軟件也可以存在于內(nèi)網(wǎng)之中。比如：通過網(wǎng)絡(luò)和移動存儲介質(zhì)來傳播病毒；擁有內(nèi)網(wǎng)權(quán)限的不滿員工；有內(nèi)網(wǎng)入口的外部攻擊者。
因此內(nèi)網(wǎng)掃描也同樣重要。內(nèi)網(wǎng)掃描的目標(biāo)可能包括核心路由器、交換機(jī)工作站、web服務(wù)器、數(shù)據(jù)庫等。
應(yīng)該每隔多久運(yùn)行掃描？
每天都會有很多新發(fā)現(xiàn)的漏洞。每一個(gè)新的漏洞被發(fā)現(xiàn)會提高風(fēng)險(xiǎn) 。因此定期間隔掃描資產(chǎn)是重要的，可以更早的發(fā)現(xiàn)安全問題并抵御潛在的攻擊。
對于如何定時(shí)運(yùn)行漏洞掃描沒有明確的數(shù)字，因公司規(guī)模而異。所述掃描的頻率可取決于以下幾點(diǎn)：
資產(chǎn)的重要性：更關(guān)鍵的資產(chǎn)應(yīng)該更頻繁掃描，使他們能夠?qū)ψ钚碌穆┒催M(jìn)行修補(bǔ) 。
曝光度：識別并掃描被暴露給許多用戶使用的組件。這可以是外部或內(nèi)部的資產(chǎn) 。
修改現(xiàn)有的環(huán)境：在現(xiàn)有的環(huán)境的任何修改，無論是增加了一個(gè)新的組件，資產(chǎn)等之后應(yīng)進(jìn)行漏洞掃描。
PCI和漏洞掃描
支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS）是一項(xiàng)要求，所有的處理、存儲或傳輸信用卡信息的公司必須保持一個(gè)安全的環(huán)境。支付卡行業(yè)安全標(biāo)準(zhǔn)委員會（PCI SSC）發(fā)起于2006年9月7日，以提高交易過程的安全性。PCI DSS要求所有信用卡接收商戶定期對他們的業(yè)務(wù)網(wǎng)絡(luò)和應(yīng)用程序進(jìn)行漏洞掃描以識別潛在的安全漏洞。
按照PCI DSS要求和安全評估程序文件：
11.2至少每季度或網(wǎng)絡(luò)中的任何顯著的變化（如新系統(tǒng)組件安裝，網(wǎng)絡(luò)拓?fù)浒l(fā)生變化，防火墻規(guī)則的修改，產(chǎn)品升級）后運(yùn)行的內(nèi)部和外部網(wǎng)絡(luò)漏洞掃描。
外部掃描：PCI要求所有面向互聯(lián)網(wǎng)的IP地址都必須進(jìn)行漏洞掃描。這些掃描應(yīng)該從公司網(wǎng)絡(luò)外部進(jìn)行。掃描只能由PCI SSC授權(quán)掃描供應(yīng)商（ASV）執(zhí)行。
內(nèi)部掃描：PCI要求對持卡人數(shù)據(jù)環(huán)境中的所有內(nèi)部組件進(jìn)行漏洞掃描。這提供了當(dāng)前內(nèi)網(wǎng)的安全現(xiàn)狀并指出攻擊者在獲取的內(nèi)部訪問后可利用的弱點(diǎn) 。內(nèi)部掃描必須由有資格的人來執(zhí)行，但不一定需要ASV 。
外部和內(nèi)部掃描由一種自動非侵入掃描器實(shí)現(xiàn)，以確定操作系統(tǒng)，設(shè)備和應(yīng)用程序的安全漏洞。一些由ASVS使用的掃描器包括Qualys公司和Nessus的。我們將在文章的后面討論這兩家公司的掃描器。
為了符合標(biāo)準(zhǔn)，由掃描器報(bào)告的漏洞必須被修復(fù) 。對于外部掃描，所有的被評為“中等”或更高安全漏洞必須進(jìn)行修復(fù) 。對于內(nèi)部掃描只有“嚴(yán)重”和“高”級別的漏洞要修復(fù) 。之后便是重新運(yùn)行漏洞掃描確認(rèn)報(bào)告的漏洞是否修復(fù) 。按照PCI DSS標(biāo)準(zhǔn)，PCI掃描必須按季度進(jìn)行。大多數(shù)公司定期進(jìn)行掃描，檢測最新的安全漏洞是否存在。
免費(fèi)VS付費(fèi)
關(guān)于是使用付費(fèi)掃描器和免費(fèi)掃描器沒有明確的答案。很多漏洞掃描器可在網(wǎng)絡(luò)上下載，有免費(fèi)的和付費(fèi)的。免費(fèi)版本的工具如burpsuite和nessus在滲透測試中經(jīng)常使用，但有些地方強(qiáng)制要求使用商業(yè)掃描器。免費(fèi)版的掃描器有一定的局限性，如下：
掃描范圍的限制：無法覆蓋應(yīng)用程序的所有部分。
誤報(bào)率：但是相對于誤報(bào) ，漏報(bào)更嚴(yán)重。
攻擊載荷的數(shù)量和新舊：免費(fèi)版的數(shù)量較少，且不一定更新到最新。商業(yè)版則沒有這個(gè)問題。
可否生成詳細(xì)報(bào)告：許多掃描器支持生成報(bào)告，但免費(fèi)版就不一定了。
附加功能：這包括交互式管理控制臺方便漏洞跟蹤，按需監(jiān)控，專業(yè)軟件支持，漏洞管理等。
排行榜
Nessus：最受歡迎的漏洞掃描器。支持身份驗(yàn)證和未身份驗(yàn)證的掃描，包括網(wǎng)絡(luò)漏洞掃描，內(nèi)部和外部PCI掃描，惡意軟件掃描，移動設(shè)備掃描，政策合規(guī)性審計(jì)，Web應(yīng)用程序的測試，補(bǔ)丁審核等，它采用超過70,000插件掃描目標(biāo)主機(jī) 。
Nessus有兩個(gè)版本，家庭版和專業(yè)版。免費(fèi)版有一定的局限性，掃描范圍，插件數(shù)量，專業(yè)的程序支持。
OpenVAS：開放式漏洞評估系統(tǒng)（OpenVAS）是由幾個(gè)服務(wù)和工具提供了一個(gè)全面而強(qiáng)大的漏洞掃描和漏洞管理解決方案的框架。它是開源和免費(fèi)的。它是一個(gè)有網(wǎng)絡(luò)接口的客戶端——服務(wù)器架構(gòu) 。服務(wù)器組件被用于調(diào)度掃描和管理插件，客戶端組件來配置掃描并訪問報(bào)告。
定制插件支持：OpenVAS掃描儀支持自定義插件，用戶可以在其中編寫Nessus攻擊腳本語言（NASL）的插件。
經(jīng)過身份驗(yàn)證的掃描：在認(rèn)證掃描中，用戶提供了目標(biāo)主機(jī)的憑據(jù)，以便掃描器可以登錄并掃描主機(jī)中安裝的組件漏洞（Adobe Reader，Wireshark等等）。
報(bào)告導(dǎo)出：OpenVAS附帶多個(gè)選項(xiàng)來生成報(bào)告。用戶可以生成并下載HTML ， XML，TXT和PDF格式的報(bào)告。
端口掃描器：OpenVAS附帶了多種端口掃描方式。它包括TCP掃描，SYN掃描，定位IPSec的IKE掃描，VPN等。
安全檢查：OpenVAS支持并啟用安全檢查掃描。在這種模式下，掃描器將依靠遠(yuǎn)程主機(jī)的標(biāo)識而不是發(fā)送所有的有效載荷到遠(yuǎn)程主機(jī) 。這是對于在默認(rèn)掃描過程中死機(jī)并且還是舊主機(jī)的一個(gè)不錯(cuò)的選擇。
QualysGuard：QualysGuard是一個(gè)基于私有云的軟件即服務(wù)（SaaS）。Web用戶界面可用于登錄到門戶網(wǎng)站，并從任何地方使用該服務(wù) 。該工具包括網(wǎng)絡(luò)發(fā)現(xiàn)，資產(chǎn)映射，漏洞評估，報(bào)告和補(bǔ)救跟蹤。內(nèi)部網(wǎng)絡(luò)掃描是通過Qualys公司設(shè)備進(jìn)行通訊，以基于云的系統(tǒng)處理。
一旦認(rèn)購確認(rèn)后，通過門戶網(wǎng)站訪問云服務(wù) 。
Burpsuite：burp是基于java編寫的web應(yīng)用程序安全性測試工具，將不同的測試工具集成到一個(gè)平臺中。它有免費(fèi)和商業(yè)版本。Burp的免費(fèi)版有以下功能：Intercepting Proxy，Spider ， Repeater，Sequencer，Intruder 。有些功能是商業(yè)版特有：Scanner ， Extension，保存當(dāng)前狀態(tài)以便后期再利用，支持導(dǎo)出報(bào)告。
【服務(wù)器漏洞掃描工具推薦掃描數(shù)據(jù)庫漏洞工具有哪些】OWASP ZAP：OWASP ZAP是一個(gè)基于Java的跨平臺的開源Web應(yīng)用安全評估工具。主要功能包括：攔截代理、爬蟲、主動和被動式掃描，保存當(dāng)前狀態(tài)以便后期利用，支持導(dǎo)出報(bào)告。
Acunetix Web Vulnerability Scanner：Acunetix網(wǎng)絡(luò)漏洞掃描器是一個(gè)自動化的應(yīng)用程序安全測試工具。它是專門設(shè)計(jì)來掃描像SQL注入，跨站腳本，目錄遍歷，操作系統(tǒng)命令注入等安全問題。允許用戶掃描SANS前20或OWASP前10的漏洞。Wvs有兩個(gè)版本，免費(fèi)的和商業(yè) 。免費(fèi)的版本是一個(gè)14天評估版本，可以掃描所有漏洞，但漏洞的具體位置將不會顯示。安裝非常簡單易懂。主要功能包括：掃描，漏洞檢測，計(jì)劃任務(wù)掃描，網(wǎng)站爬蟲，子域名掃描，c段web服務(wù)探索，HTTP包編輯。
NetSparker：Netsparker也是一款Web應(yīng)用程序安全掃描儀。其中這個(gè)掃描器的獨(dú)特功能是試圖通過成功利用或以其他方式測試，以降低誤報(bào)率。如果掃描儀可以利用該漏洞，那么它會在報(bào)告的“確認(rèn)”部分中列舉出該漏洞。它有三個(gè)版本，即社區(qū)版，標(biāo)準(zhǔn)版和專業(yè)版。社區(qū)版是免費(fèi)評估產(chǎn)品。標(biāo)準(zhǔn)版限制為3個(gè)網(wǎng)站意味著我們被允許只掃描三個(gè)網(wǎng)站。專業(yè)版允許掃描無限網(wǎng)站。
它的主要功能包括：容易上手，爬蟲，內(nèi)部確認(rèn)引擎確認(rèn)漏洞是否可利用，報(bào)告導(dǎo)出。
結(jié)論
漏洞掃描器是可以節(jié)省你的時(shí)間，但是我們不能完全依靠他們。沒有一個(gè)工具可以發(fā)現(xiàn)存在于網(wǎng)絡(luò)或web應(yīng)用程序的每一個(gè)漏洞。如果可能的話，使用多個(gè)自動掃描儀來減少出錯(cuò)的可能性。web漏洞掃描器無法找到應(yīng)用程序中業(yè)務(wù)邏輯問題。而這些漏洞是至關(guān)重要的，需要手動進(jìn)行測試。所以最好的方法是運(yùn)行一個(gè)漏洞掃描器以及手工測試。

以上關(guān)于本文的內(nèi)容，僅作參考！溫馨提示：如遇健康、疾病相關(guān)的問題，請您及時(shí)就醫(yī)或請專業(yè)人士給予相關(guān)指導(dǎo)!

「愛刨根生活網(wǎng)」www.malaban59.cn小編還為您精選了以下內(nèi)容，希望對您有所幫助：

服務(wù)器漏洞掃描工具推薦 掃描數(shù)據(jù)庫漏洞工具有哪些

服務(wù)器漏洞掃描工具推薦掃描數(shù)據(jù)庫漏洞工具有哪些