你不得不知的幾款漏洞掃描器

漏洞掃描是指對暴露在外部或內部託管系統、網路組件或應用程序進行漏洞檢測。漏洞掃描器是正是用來執行漏洞掃描的工具。

其是以漏洞資料庫為基礎，對遠程主機進行檢查。該漏洞資料庫包含所有需要的信息（服務，埠，數據包類型，漏洞利用程序等）。他們可以掃描數以千計的網路和網站漏洞，提供風險問題清單，並給出修復建議。

漏洞掃描器可以用來做：

安全審計師的安全評估

黑客的對資產的惡意攻擊或者未授權訪問。

應用上線前測試

目前流行的漏掃的特點是：

漏洞資料庫不斷更新

減少誤報

同時掃描多個目標

提供詳細的結果報告

漏洞的修復建議

結構圖

掃描器的組成

漏洞掃描器分為四個部分：

用戶界面：這是與用戶進行交互，運行或配置掃描的介面。這可以是一個圖形用戶界面（GUI）或命令行界面（CLI）。

掃描引擎：掃描引擎基於該安裝和配置插件執行掃描。

掃描資料庫：掃描資料庫存儲掃描器所需的數據。這可能包含漏洞信息，插件，漏洞修復措施，CVE-ID連接（常見漏洞和隱患），掃描結果等。

報告模塊：報告模塊提供生成一個詳細的報告的選項，漏洞的列表，圖形報表等不同類型的報告。

類型

掃描器可以被分為兩類。

外網：一些暴露在互聯網上的資產，如開放了80埠或者443埠提供web服務。許多管理員認為他們有一個邊界防火牆，所以他們是安全的，但其實並不一定。防火牆可以通過規則防止未經授權的訪問網路，但是如果攻擊者發現可以通過80埠或者443埠來攻擊其他系統，比如最近很火的SSRF。在這種情況下防火牆可能無法保護你。

因此檢測那些可能會讓攻擊者獲得內網訪問許可權的外網資產的漏洞非常必要。

內網：不是所有的攻擊都來自外部網路，黑客和惡意軟體也可以存在於內網之中。比如：通過網路和移動存儲介質來傳播病毒；擁有內網許可權的不滿員工；有內網入口的外部攻擊者。

因此內網掃描也同樣重要。內網掃描的目標可能包括核心路由器、交換機工作站、web伺服器、資料庫等。

應該每隔多久運行掃描？

每天都會有很多新發現的漏洞。每一個新的漏洞被發現會提高風險。因此定期間隔掃描資產是重要的，可以更早的發現安全問題並抵禦潛在的攻擊。

對於如何定時運行漏洞掃描沒有明確的數字，因公司規模而異。所述掃描的頻率可取決於以下幾點：

資產的重要性：更關鍵的資產應該更頻繁掃描，使他們能夠對最新的漏洞進行修補。

曝光度：識別並掃描被暴露給許多用戶使用的組件。這可以是外部或內部的資產。

修改現有的環境：在現有的環境的任何修改，無論是增加了一個新的組件，資產等之後應進行漏洞掃描。

PCI和漏洞掃描

支付卡行業數據安全標準（PCI DSS）是一項要求，所有的處理、存儲或傳輸信用卡信息的公司必須保持一個安全的環境。支付卡行業安全標準委員會（PCI SSC）發起於2006年9月7日，以提高交易過程的安全性。PCI DSS要求所有信用卡接收商戶定期對他們的業務網路和應用程序進行漏洞掃描以識別潛在的安全漏洞。

按照PCI DSS要求和安全評估程序文件：

11.2至少每季度或網路中的任何顯著的變化（如新系統組件安裝，網路拓撲發生變化，防火牆規則的修改，產品升級）後運行的內部和外部網路漏洞掃描。

外部掃描：PCI要求所有面向互聯網的IP地址都必須進行漏洞掃描。這些掃描應該從公司網路外部進行。掃描只能由PCI SSC授權掃描供應商（ASV）執行。

內部掃描：PCI要求對持卡人數據環境中的所有內部組件進行漏洞掃描。這提供了當前內網的安全現狀並指出攻擊者在獲取的內部訪問後可利用的弱點。內部掃描必須由有資格的人來執行，但不一定需要ASV。

外部和內部掃描由一種自動非侵入掃描器實現，以確定操作系統，設備和應用程序的安全漏洞。一些由ASVS使用的掃描器包括Qualys公司和Nessus的。我們將在文章的後面討論這兩家公司的掃描器。

為了符合標準，由掃描器報告的漏洞必須被修復。對於外部掃描，所有的被評為「中等」或更高安全漏洞必須進行修復。對於內部掃描只有「嚴重」和「高」級別的漏洞要修復。之後便是重新運行漏洞掃描確認報告的漏洞是否修復。按照PCI DSS標準，PCI掃描必須按季度進行。大多數公司定期進行掃描，檢測最新的安全漏洞是否存在。

免費VS付費

關於是使用付費掃描器和免費掃描器沒有明確的答案。很多漏洞掃描器可在網路上下載，有免費的和付費的。免費版本的工具如burpsuite和nessus在滲透測試中經常使用，但有些地方強制要求使用商業掃描器。免費版的掃描器有一定的局限性，如下：

掃描範圍的限制：無法覆蓋應用程序的所有部分。

誤報率：但是相對於誤報，漏報更嚴重。

攻擊載荷的數量和新舊：免費版的數量較少，且不一定更新到最新。商業版則沒有這個問題。

可否生成詳細報告：許多掃描器支持生成報告，但免費版就不一定了。

附加功能：這包括互動式管理控制台方便漏洞跟蹤，按需監控，專業軟體支持，漏洞管理等。

排行榜

Nessus：最受歡迎的漏洞掃描器。支持身份驗證和未身份驗證的掃描，包括網路漏洞掃描，內部和外部PCI掃描，惡意軟體掃描，移動設備掃描，政策合規性審計，Web應用程序的測試，補丁審核等，它採用超過70,000插件掃描目標主機。

Nessus有兩個版本，家庭版和專業版。免費版有一定的局限性，掃描範圍，插件數量，專業的程序支持。

OpenVAS：開放式漏洞評估系統（OpenVAS）是由幾個服務和工具提供了一個全面而強大的漏洞掃描和漏洞管理解決方案的框架。它是開源和免費的。它是一個有網路介面的客戶端——伺服器架構。伺服器組件被用於調度掃描和管理插件，客戶端組件來配置掃描並訪問報告。

定製插件支持：OpenVAS掃描儀支持自定義插件，用戶可以在其中編寫Nessus攻擊腳本語言（NASL）的插件。

經過身份驗證的掃描：在認證掃描中，用戶提供了目標主機的憑據，以便掃描器可以登錄並掃描主機中安裝的組件漏洞（Adobe Reader，Wireshark等等）。

報告導出：OpenVAS附帶多個選項來生成報告。用戶可以生成並下載HTML，XML，TXT和PDF格式的報告。

埠掃描器：OpenVAS附帶了多種埠掃描方式。它包括TCP掃描，SYN掃描，定位IPSec的IKE掃描，VPN等。

安全檢查：OpenVAS支持並啟用安全檢查掃描。在這種模式下，掃描器將依靠遠程主機的標識而不是發送所有的有效載荷到遠程主機。這是對於在默認掃描過程中死機並且還是舊主機的一個不錯的選擇。

QualysGuard：QualysGuard是一個基於私有雲的軟體即服務（SaaS）。Web用戶界面可用於登錄到門戶網站，並從任何地方使用該服務。該工具包括網路發現，資產映射，漏洞評估，報告和補救跟蹤。內部網路掃描是通過Qualys公司設備進行通訊，以基於雲的系統處理。

一旦認購確認後，通過門戶網站訪問雲服務。

Burpsuite：burp是基於java編寫的web應用程序安全性測試工具，將不同的測試工具集成到一個平台中。它有免費和商業版本。Burp的免費版有以下功能：Intercepting Proxy，Spider，Repeater，Sequencer，Intruder。有些功能是商業版特有：Scanner，Extension，保存當前狀態以便後期再利用，支持導出報告。

OWASP ZAP：OWASP ZAP是一個基於Java的跨平台的開源Web應用安全評估工具。主要功能包括：攔截代理、爬蟲、主動和被動式掃描，保存當前狀態以便後期利用，支持導出報告。

Acunetix Web Vulnerability Scanner：Acunetix網路漏洞掃描器是一個自動化的應用程序安全測試工具。它是專門設計來掃描像SQL注入，跨站腳本，目錄遍歷，操作系統命令注入等安全問題。允許用戶掃描SANS前20或OWASP前10的漏洞。Wvs有兩個版本，免費的和商業。免費的版本是一個14天評估版本，可以掃描所有漏洞，但漏洞的具體位置將不會顯示。安裝非常簡單易懂。主要功能包括：掃描，漏洞檢測，計劃任務掃描，網站爬蟲，子域名掃描，c段web服務探索，HTTP包編輯。

NetSparker：Netsparker也是一款Web應用程序安全掃描儀。其中這個掃描器的獨特功能是試圖通過成功利用或以其他方式測試，以降低誤報率。如果掃描儀可以利用該漏洞，那麼它會在報告的「確認」部分中列舉出該漏洞。它有三個版本，即社區版，標準版和專業版。社區版是免費評估產品。標準版限制為3個網站意味著我們被允許只掃描三個網站。專業版允許掃描無限網站。

它的主要功能包括：容易上手，爬蟲，內部確認引擎確認漏洞是否可利用，報告導出。

結論

漏洞掃描器是可以節省你的時間，但是我們不能完全依靠他們。沒有一個工具可以發現存在於網路或web應用程序的每一個漏洞。如果可能的話，使用多個自動掃描儀來減少出錯的可能性。web漏洞掃描器無法找到應用程序中業務邏輯問題。而這些漏洞是至關重要的，需要手動進行測試。所以最好的方法是運行一個漏洞掃描器以及手工測試。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！