弱点扫描其实就是为了发现漏洞。

发现漏洞可以基于前面介绍的端口服务扫描获取的版本信息,去搜索这些版本的服务已经公开的漏洞数据库。但是这样操作其实需要花费一定的精力和时间。比较常用的是这个网址:https://www.exploit-db.com/ 可以查询各个服务的漏洞和利用漏洞的具体方法,不过这个不翻墙的话不一定能连上。kali内部也集成了漏洞数据库的数据,可以通过searchsploit命令进行查询:
searchsploit tomcat
查询结果右边那列就是具体漏洞使用方法的说明文档。
当然在漏洞数据库中能找到的都是已经公开的漏洞,只要安全人员够勤快,一般都是能把这些漏洞封住的。
这里还是提一句,不要迷信exploit-db,它不一定能记录全部互联网上的漏洞,还有很多漏洞被发现后分散在个人博客、论坛等地方。
以前早期版本的kali里还会集成一个叫sandi-gui的工具,功能和exploit-db类似,不过sandi-gui可以选择搜索的数据库,有三个数据库,分别是exploit-db、metasploit、shell-storm。不过新版本的kali中没有集成了,如果有需要,可以通过命令(apt-get install sandi)自己下载安装。
前面说了自己根据服务版本信息去找漏洞的利用方法是比较麻烦的,所以在实际工作中其实可以使用一些漏洞扫描工具,比如openvas。
漏洞扫描类型一般分为三大类:1.主动扫描(有身份验证、无身份验证)、2.被动扫描(镜像端口抓包、其他来源输入)、3.基于agent的扫描(支持平台有限)。
进行漏洞管理的时候可能会涉及后面的一些概念,最好花些时间了解一下。
CVSS
CVSS(Common Vulnerability Scoring System)通用漏洞评分系统,是一个工业标准,是描述安全漏洞严重程度的统一评分方案,V3版本是2015年6月10日释放的。CVSS3.0由三个基本维度组成,分别是Base、Temporal、Environmental。漏洞的得分最大为10,最小为0,不同机构根据分值将漏洞威胁定义成高、中、低威胁级别(severity)。
CVSS体现漏洞风险,威胁级别(severity)表示漏洞风险对于企业的影响程度。CVSS分值是工业标准,但是威胁级别不是。
CVSS是安全内容自动化协议(SCAP)的一部分。通常CVSS与CVE一同由美国国家漏洞库(NVD)发布并维护数据的更新。
Basic Metric:指的是该漏洞本身固有的一些特点及这些特点可能造成的影响的评价分值
A
基本评价( BASE METRIC )
要素
可选值
评分
1
攻击途径AccessVector
本地/远程
0.7/1.0
2
攻击复杂度AccessComplexity
高/中/低
0.6/0.8/1.0
3
认证 Authentication
需要/不需要
0.6/1.0
4
机密性ConfImpact
不受影响/部分/完全
0/0.7/1
5
完整性IntegImpact
不受影响/部分/完全
0/0.7/1
6
可用性AvailImpact
不受影响/部分/完全
0/0.7/1
权值倾向
平均/机密性/完整性/可用性
各0.333/权值倾向要素0.5另外两个0.25
基础评价 = 四舍五入(10 * 攻击途径* 攻击复杂度*认证* ((机密性 * 机密性权重) + (完整性 * 完整性权重) + (可用性 * 可用性权重)))
Temporal Metric:是针对最新类型漏洞(如:0day漏洞)设置的评分项,因此SQL注入漏洞不用考虑。
B
生命周期评价( TEMPORAL METRIC)
要素
可选值
评分
1
可利用性
未证明/概念证明/功能性/完全代码
0.85/0.9/0.95/1.0
2
修复措施
官方补丁/临时补丁/临时解决方案/无
0.87/0.90/0.95/1.0
3
确认程度
不确认/未确认/已确认
0.9/0.95/1.0
生命周期评价 =四舍五入(基础评价*可利用性* 修复措施*未经确认)
Enviromental Metric:每个漏洞会造成的影响大小都与用户自身的实际环境密不可分,因此可选项中也包括了环境评价,这可以由用户自评。
C
环境评价( ENVIRONMENTAL METRIC )
要素
可选值
评分
1
危害影响程度
无/低/中/高
0/0.1/0.3/0.5
2
目标分布范围
无/低/中/高(0/1-15%/16-49%/50-100%)
0/0.25/0.75/1.0
环境评价 = 四舍五入<(生命周期评价 + [(10 -生命周期评价) *危害影响程度]) *目标分布范围>
评分与危险等级一般是这样进行定义的:
评分
危险等级
1
[0,4)
低
2
[4,7)
中
3
[7,10]
高
对于CVSS3.0网上其实有很详细的介绍文档,不过我们只需要了解基本概念就行,感兴趣的可以自己去搜索具体的文档。
CVE
CVE(Common Vulnerabilities and Exposures)是已公开的信息安全漏洞字典,统一的漏洞编号标准。由MITRE公司(非盈利机构)负责维护。扫描器的大部分扫描项都对应一个CVE编号。实现了不同厂商之间信息交换的统一标准。
CVE的发布流程:
发现漏洞CAN负责指定CVE ID发布到CVE list——CVE-2008-4250MITRE负责对内容进行编辑维护OVAL
OVAL(Open Vulnerability and Assessment Language)是描述漏洞检测方法的机器可识别语言。详细地描述漏洞检测的技术细节,可导入自动化检测工具中实施漏洞检测工作。OVAL使用XML语言描述,包含了严密的语法逻辑。
CCE
CCE是描述软件配置缺陷的一种标准化格式。在信息安全风险评估中,配置缺陷的检测是一项重要内容,使用CCE可以让配置缺陷以标准的方式展现出来,便于配置缺陷评估的可量化操作。
CPE
CPE(Common Product Enumeration)是信息技术产品、系统、软件包的结构化命名规范,分类命名。
CWE
CWE(Common Weakness Enumeration)是常见漏洞类型的字典,描述不同类型漏洞的特征(访问控制、信息泄露、拒绝服务)。
SCAP
SCAP(Secunity Content Automation Protocol)是一个集合了多种安全标准的框架。里面有6个元素,分别是CVE、OVAL、CCE、CPE、CVSS、XCCDF。SCAP的目的是以标准的方法展示和操作安全数据。由NIST负责维护。
SCAP主要是在解决三个问题。1.实现高层决策法规等到底层实施的落地(如FISMA,ISO27000系列);2.将信息安全所涉及的各个要素标准化(如统一漏洞的命名及严重性度量);3.将复杂的系统配置核查工作自动化。
SCAP是美国比较成熟的一套信息安全评估标准体系,其标准化、自动化的思想对信息安全行业产生了深远的影响。
NVD
NVD是美国政府的漏洞管理标准数据库,是完全基于SCAP框架的。实现了自动化漏洞管理、安全测量、合规要求。包含以下库:
安全检查列表软件安全漏洞配置错误产品名称影响度量官网:https://nvd.nist.gov/


还没有评论,来说两句吧...