DAST 黑盒漏洞扫描器 第五篇:漏洞扫描引擎与服务能力

最新推荐文章于 2024-07-12 10:51:18 发布
最新推荐文章于 2024-07-12 10:51:18 发布
阅读量435 收藏
点赞数
分类专栏: Spring Java Java编程 文章标签: 大数据 mysql java spring 面试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/java_beautiful/article/details/125483497
版权
本文详细介绍了DAST黑盒漏洞扫描器的服务化改造过程,包括从简单的扫描到分布式扫描,再到多数据源扫描和系统间服务能力的提升。通过任务管理和数据源统一,实现了高效、低耦合的扫描服务,同时强调了全流程日志的重要性,以便于问题排查。
摘要由CSDN通过智能技术生成

0X01 前言

本身需要对外有良好的服务能力,对内流程透明,有日志、问题排查简便。

这里的服务能力指的是系统层面的服务,将扫描器封装成提供给业务的业务服务能力不在该篇讲述范围内

0X02 简单的扫描

高端的漏洞往往用最朴实的扫描方法

最简单的扫描需求,只需要从数据库中读取数据,定期跑一遍所有规则就好了。

一个脚本更新资产,一个脚本定时读取数据、结合规则进行扫描、并把结果打到数据库里,一个脚本定时读取结果发邮件,这样就已经满足SRC自动化挖漏洞的需求了,而且效果还不错。

0X03 分布式扫描

随着扫描的资产变多,单个机器的龟速扫描令人着急,所以运行规则这一步加上分布式,即任务打到队列(redis/MQ/kafka等),再由多个节点运行扫描规则、输出漏洞结果

0X04 几个数据源扫描

这样很方便的可以扫描主机漏洞

再往后,不想只单单的扫描主机漏洞了,也想扫描注入/XSS/SSRF/XXE等基于url的漏洞,有了url类型数据。

甚至发现有的漏洞应该是针对域名的(单纯的IP+端口请求到达不了负载均衡),又有了domain类型的数据。

最低0.47元/天 解锁文章
ikyrxbxfas
关注
专栏目录
DAST黑盒漏洞扫描:规则篇 编程学习
KrDebugging的博客
09-27 162
在网络安全领域中,黑盒漏洞扫描是一种常用的工具,用于检测应用程序中的潜在漏洞。在网络安全领域中,黑盒漏洞扫描是一种常用的工具,用于检测应用程序中的潜在漏洞。在实际的应用中,你需要根据你要检测的漏洞类型来编写适当的逻辑。在实际的应用中,你需要根据你要检测的漏洞类型来编写适当的逻辑。请注意,这只是一个基本的示例,实际的黑盒漏洞扫描可能需要更复杂的逻辑和更多的功能来检测各种类型的漏洞。请注意,这只是一个基本的示例,实际的黑盒漏洞扫描可能需要更复杂的逻辑和更多的功能来检测各种类型的漏洞
Web安全扫描工具搭建与使用(附扫描工具安装包)
悦分享
11-06 376
WebInspect也是一款比较常见的Web安全动态扫描工具,它的安全规则库由世界领先的Web安全专家每日维护和更新(与fortify同一个安全团队),有一些创新的评估技术,例如同步扫描和审核及并发应用程序扫描,快速准确地自动执行 Web 应用程序安全测试和 Web 服务安全测试。基于Java的Web代理的方式,用于评估Web应用程序漏洞。Nikto是一款专业的web服务扫描工具,软件采用命令行的执行方式,可以对服务进行快速的检测,从而发现潜在的危险以及CGI等问题,是网络管理人员的必备工具。
DAST 黑盒漏洞扫描 第二篇:规则篇
weixin_45566993的博客
06-07 836
怎么衡量一个扫描的好坏,扫描覆盖率高、扫描快、扫描过程安全 而最直接的效果就是扫描覆盖率高(扫的全) 怎么扫描全面,1 流量全面 2 规则漏报低 流量方面上篇已经讲过,这篇主要讲扫描规则。 扫描规则漏报率低,从整体考虑,一方面是规则全,广度上有保证;一方面是检测手段有深度,可以跨能力联动检测,有能力解决主要和旁枝末节处的漏报场景扫描的规则主要有两种类型 针对接口的web漏洞,通常是通用型漏洞,OWASP TOP 10,sql注入、xss、ssrf、xxe等,以下简称web规则 针对主机(包括整个站点)的
linux开源漏洞扫描引擎,ExpGuides/0x52_漏洞扫描-OpenVAS.md · wildlinux/NetSec - Gitee.com
weixin_39770626的博客
05-15 474
---title: "Markdown slide"theme: "beige"author: Wildlinuxdate: Mar 24, 2018output: revealjs::revealjs_presentation---p { text-align: left; }h2 { text-align: left; }---# 1. 漏洞扫描-OpenVAS--## 1.1. OpenVA...
5 款漏洞扫描工具:实用、强力、全面(含开源)
ZL_1618的博客
02-21 2976
Trivy 是一个开源漏洞扫描程序,能够检测开源软件中的CVE。这款工具针对风险提供了及时的解释,开发人员可自行决定是否在容或应用程序中使用该组件。常规的容安全协议使用的是静态镜像扫描发现漏洞,Trivy则是将漏洞扫描工具无缝合并到集成开发环境当中。另外,由于背靠庞大的开源社区,许多的集成及附加组件都支持 Trivy,例如使用 Helm 图表能够将 Trivy 安装到 Kubernetes 集群,借助Prometheus 导出能够提取漏洞指标。
探秘Burp-molly-scanner: 黑盒扫描的新利
gitblog_00072的博客
06-11 248
探秘Burp-molly-scanner: 黑盒扫描的新利发现同类优质开源项目:https://gitcode.com/ 在网络安全的浩瀚星空中,每一次扫描都像是探索未知的宇宙角落,而今天我们要为你介绍的是——Burp-molly-scanner,一款专为增强Burp Suite而生的头盔式主动扫描插件。让我们一起揭开它的神秘面纱,探讨其技术内核,以及如何在实战中大展身手。 项目介绍 Bur...
【安全第一】:Identity安全漏洞全面分析与防御指南
由于身份认证是系统安全的第一道防线,因此任何漏洞都可能导致系统面临严重的安全风险。 本章节将概述Identity安全漏洞的基本概念,为读者建立一个坚实的知识基础,为深入分析其成因、检测预防方法、实际案例以及...
Acunetix Web 应用程序漏洞报告 2020
Acunetix的博客
06-22 1093
欢迎阅读 2020 年版的 Acunetix Web 应用程序漏洞报告。 每年,Acunetix都会分析从 Acunetix Online 收到的数据并创建漏洞测试报告。此报告代表 Web 应用程序和网络边界的安全状态。今年的报告包含基于 5,000 个扫描目标的数据,在 2019 年 3 月至 2020 年 2 月的 12 个月期间检测到的漏洞的结果和分析。此分析主要适用于在 Web 应用程序中发现的高、中严重漏洞,以及外围网络漏洞数据。 虽然人们可能认为 Web 应用程序总体上正在慢慢变得更加安全,但事
攻防启示:Chromium组件风险剖析与收敛
Tencent_SRC的博客
07-15 937
文|腾讯研发安全团队Martinzhou腾讯蓝军 Neargle、PassI. 背景数月前我们在攻防两个方向经历了一场“真枪实弹”的考验,期间团队的目光曾一度聚焦到Chromium组件上...
什么是漏洞扫描?有哪些功能?
yyj173637的博客
04-08 2574
并结合实际业务情况需求,确定扫描范围,扫描实施的时间,设备接入点,IP地址的预留,配合人员及其他相关的整体漏扫方案。、CNVD、CNNVD 等漏洞数据库,通过专用工具扫描手段对指定的远程或者本地的网络设备、主机、数据库、操作系统、中间件、业务系统等进行脆弱性评估,发现安全漏洞,并提供可操作的安全建议或临时解决办法的服务。配备漏洞扫描系统,网络管理人员可以定期的进行网络安全检测服务,安全检测可帮助客户最大可能的消除安全隐患,尽可能早地发现安全漏洞并进行修补,有效的利用已有系统,优化资源,提高网络的运行效率。
AppScan黑盒安全测试技术
09-21
AppScan黑盒安全测试技术AppScan黑盒安全测试技术AppScan黑盒安全测试技术AppScan黑盒安全测试技术AppScan黑盒安全测试技术AppScan黑盒安全测试技术
漏洞扫描/发现
lhb117的博客
10-06 3246
1.    传统弱点发现:       a.    基于端口服务扫描结果发现版本信息,利用版本漏洞发现对方弱点,但是此方法速度慢       b.    发现弱点后,搜索已公开的漏洞数据库,查找对应漏洞,但是此方法数据量很大       c.     使用弱点扫描实现漏洞管理 2.    漏洞数据库        a.    找到漏洞后,可以到https://www.exploit-d
5款常用的漏洞扫描工具,网安人员不能错过!
最新发布
bigbangbangbang1的博客
07-12 3663
1漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测的行为。在漏洞扫描过程中,我们经常会借助一些漏扫工具,市面上漏扫工具众多,其中有一些常用的,你一定要熟悉。1。
【渗透测试-web安全】漏洞扫描、搜索引擎高级用法
harry_c的博客
10-20 890
【渗透测试-web安全】漏洞扫描、搜索引擎高级用法漏洞扫描搜索引擎百度谷歌用法补充在线WEB工具 漏洞扫描 基本流程:扫描配置与目标基本信息探测–>爬虫:目标站点页面爬取–>各个漏洞探测模块:具体的漏洞测试 SQL注入扫描:找到有数据交互的功能页面–>判断页面是否存在SQL注入–>利用SQL注入漏洞读取数据–>导出所需的数据 SQLMap: 支持的数据库广泛 搜索引擎...
白盒、黑盒、SAST、DAST傻傻分不清?
hwxiaozhi的博客
07-07 381
白盒测试、黑盒测试、静态应用程序安全测试(SAST) 和 动态应用程序安全测试(DAST)是软件测试和安全领域中常见的术语。很多小伙伴分不清这四者到底有啥区别和关联,本文将做个简单的解释与区分。
动态应用安全测试 (DAST) 与渗透测试:应用程序安全测试综合指南
网络研究观
06-30 2408
本综合指南将探讨 DAST 与渗透测试,包括 DAST 扫描与渗透测试以及 SAST、DAST 和渗透测试之间的关系。
毕业设计:基于python的漏洞扫描系统的实现
2301_79555157的博客
02-20 3897
毕业设计:漏洞扫描系统的实现通过计算机技术和网络扫描技术,对目标系统进行主动扫描漏洞检测。该漏洞扫描系统具有高效、准确和可扩展的特点,可以帮助用户及时发现和修复系统中的漏洞,提高网络安全性。为计算机毕业设计提供了一个创新的方向,结合了网络安全、计算机网络和软件开发技术,为毕业生提供了一个有意义的研究课题。对于计算机专业、软件工程专业、网络安全专业和信息安全专业的毕业生而言,提供了一个具有挑战性和实用性的研究课题。
应用安全测试技术DAST、SAST、IAST对比分析
qq_50854662的博客
10-06 1256
应用安全测试技术DAST、SAST、IAST对比分析
渗透测试类型(白盒测试、黑盒测试)和漏洞扫描
热门推荐
WEL测试
08-23 1万+
1.3 渗透测试类型          渗透测试的两种基本类型:白盒测试与黑盒测试。白盒测试,有时也被称为“白帽测试”,是指渗透测试者在拥有客户组织所有知识的情况下所进行的测试;黑盒测试则设计为模拟一个对客户组织一无所知的攻击者所进行的渗透攻击。 1.3.1 白盒测试          使用白盒测试,需要和客户组织一起工作,来识别出潜在的安全风险。白盒测试的最大好处是测试者将拥有所有的内部知
AppScan详解:中文支持的Web漏洞扫描与实战教程
在实际操作中,教程涉及到在特定环境中使用AppScan,例如,扫描目标是OWASP Broken Web Apps VM 1.2,而扫描则部署在Windows 7操作系统上,由千锋云计算杨哥团队进行测试。教程还详细介绍了如何创建扫描任务、保存...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值