发现漏洞
- 给予端口服务扫描结果版本信息(速度慢)
- 搜索已公开的漏洞数据库(数量大)
- 使用弱点扫描器实现漏洞管理
漏洞网站
- https://www.exploit-db.com/
kali内置漏洞数据库
- 存放目录:/usr/share/exploitdb/exploits/
- 通过平台进行区分
# 后跟搜索内容
searchsploit tomcat
从信息的维度定义漏洞管理
信息收集
- 扫描发现网络IP、OS、服务、配置、漏洞
- 能力需求:定义扫描方式内容和目标
信息管理
- 格式化信息,并进行筛选、分组、定义优先级
- 能力需求:资产分组、指定所有者、向所有者报告漏洞
信息输出
- 向不同层级的人群展示足够的信息量
- 能力需求:生成报告、导出数据、与SIEM集成
弱点扫描类型
主动扫描
- 有身份验证
- 无身份验证
被动扫描
- 镜像端口抓包
- 其他来源输入
基于Agent的扫描
- 支持平台有限
漏洞基本概念
CVSS(Common Vulnerability Scoring System)
- 通用漏洞评分系统(由下面三个组成)【工业标准】
- Basic Metric:基础的恒定不变的弱点权重
- Temporal Metric:依赖时间因素的弱点权重
- Enviromental Metric:利用弱点的环境要求和实施难度的权重
- 分数从0-10(0低10高)
- 不同机构按CVSS分值定义威胁的中、高、低威胁等级(威胁等级表示弱点风险对企业的影响程度)
CVE( Common Vulnerabilities and Exposures )
- 已公开的信息安全漏洞字典,统一的漏洞编号标准
- MITRE公司负责维护(非盈利机构)
- 扫描器的大部分扫描项都对应一个CVE编号
- 实现不同厂商之间信息交换的统一标准
CVE发布流程
- 发现漏洞
- CAN负责指定CVE ID
- 发布到CVE List —— CVE-2008-4250
- MITRE负责对内容进行编辑维护
很多厂商维护自己的漏洞库
- MS(微软漏洞)
- MSKB(微软补丁)
OVAL(Open Vulnerability and Assessment Language)
- 描述漏洞检测方法的机器可识别语言
- 详细的描述漏洞检测的技术细节,可导入自动化检测工具中实施漏洞检测工作
- OVAL使用XML语言描述,包含了严密的语法逻辑
CCE
- 描述软件配置缺陷的一种标准化格式
- 在信息安全风险评估中,配置缺陷的检测是一项重要内容,使用CCE可以让配置缺陷以标准的方式展现出来