漏洞扫描到底查什么

大量的人在拿到软件漏洞扫描报告之时, 其第一反应往往是处于懵然的状态, 报告之上满是英文缩写、风险等级以及CVSS分数, 令人不知应当从何处开始查看。事实上, 该报告的核心要点总共就三件事情, 其一为清楚知晓你系统之中所安装的内容, 其二是找出其中存在已知漏洞的部分, 其三则是对这些漏洞能够造成的破坏程度加以评估。

一项极为基础的操作乃是资产盘点, 扫描器会对您的服务器、数据库、中间件、开发框架进行逐一遍历, 将每个组件的版本号记录下来, 众多元老项目对绵延十几年未曾更库, 比如某个著名CMS系统, 去年所暴出为远程代码执行漏洞, 影响到版本跨度长达四个版本, 未作扫描根本无从知晓自身处于雷区之中, 扫描报告里通常会把资产清单罗列于最首要位置, 这是后续所有分析的根基。

检测漏洞的阶段时, 扫描器会针对CVE数据库展开比对。然而, 存在一个关键要点: 并非所有漏洞皆契合你的场景。诸如部分漏洞要求攻击者预先登录系统, 要是你的应用后台未曾对外进行开放, 那么这个漏洞的风险等级便能够予以下调。报告之中高危漏洞数量众多, 并不必然意味着你的系统即刻就会崩溃, 需结合业务实际状况加以审视。

漏洞扫描报告解读_软件漏洞扫描报告_软件漏洞扫描报告分析
打开网易新闻 查看精彩图片
漏洞扫描报告解读_软件漏洞扫描报告_软件漏洞扫描报告分析

报告里的风险等级怎么看

绝大多数扫描报告运用CVSS评分, 以0至10分为区间, 分数越高则危险程度也越高。然而, 需要了解到, 这个所示评分属于理论上的最大值, 并还未曾考量你的网络环境状况。举例来说, 对于一个需要通过物理接触方可触发的漏洞, 即便其评分极高, 在云端部署这种场景之际也基本上难以实用。

切实值得予以关注的是那种能够被远程加以利用的, 无需进行身份认证的, 并且存在公开利用工具的漏洞, 是有公开利用工具予以实施获取信息或破坏系统的手段的漏洞;这类具备特定危险特征的漏洞才是黑客扫描设备的首要选择目标重点予以扫描的对象;在相关报告之中一般会运用标志符号去进行标明指出这类漏洞, 像是呈现显示出“远程可利用”“未授权访问”等相关字眼的情况;当你获得到这份报告之后, 应当把处理这一部分视作优先侧重的事情去开展行动。

修复建议的部分当中, 存在着不少人会径直依照报告里所呈现的方案去开展操作的情况。然而需要切实留意到, 存在一些修复方案极可能致使业务出现中断的状况。臂如给某个库实施升级操作, 极有可能导致API兼容性遭受到破坏, 所以务必要先行进行回归测试。更为稳妥的一种做法是, 首先查看一下是否能寻觅到WAF规则于临时状态下完成阻断操作, 或者对防火墙加以配置从而限定访问的来源, 之后再去安排停机维护之时效性存在时间的特定窗口。

报告里的假阳性怎么处理

软件漏洞扫描报告_软件漏洞扫描报告分析_漏洞扫描报告解读
打开网易新闻 查看精彩图片
软件漏洞扫描报告_软件漏洞扫描报告分析_漏洞扫描报告解读

扫描得到的报告并非是那种达到百分之百精准确切程度的, 在某些时候, 扫描器会出现误报的状况, 也就是会将正常所具备的功能判定成存在漏洞, 比如说, 当某个服务返回了详尽的错误信息时, 扫描器有可能就会报出信息泄露的问题, 然而实际上这个错误信息仅在内网范围之内是可见的, 像这种情形, 那就需要通过人工来进行验证了。

验证的办法是挺简易的没错: 瞅一瞅漏洞描述那边儿存在的测试路径是咋样的情形, 然后自行于浏览器或者相对应的工具里头再照着重新演示一回。要是没办法重新演示成功, 抑或是非得借助于特别繁杂的条件才能够导致达到触发的效果, 大体上就能够判定这属于误报的情况了。于形成报告的过程当中将其标记为明确的那种“已确认误报”, 等之后进行跟踪追寻的时候就不必在这上面浪费时间精力的了。

还存在这样一种情形, 即扫描器不能够全然验证漏洞是否确实存在, 仅仅是依据版本号来进行推测。举例来说, 某一个版本的库的确存在漏洞, 但是你实际上仅仅使用了这个库当中具有的部分功能, 而漏洞代码根本就未曾被加载。处于这种状况下, 就需要开发人员参与进来, 去查看代码里面是不是调用了易于遭受攻击的函数。众多的安全团队在处理报告之际, 会专门预留出20%的精力来做此类二次确认。

软件漏洞扫描生成的报告, 并非毫无价值的纸张, 也不是高悬头顶令人担忧的利刃。应将其视作系统运维的健康检查清单, 按照规定期间进行检测, 及时予以处置, 合理作出标识, 如此方可切实降低安全隐患存在的可能性。不要寄希望于一份报告能够解决所有疑难, 它仅仅是助力你察觉那些问题所处状态的。采用实际行动去进行修复, 这才是最为关键的要点所在。

艾策信息科技是具备正规软件测评资质的第三方软件检测机构,专业高效出具第三方软件测试报告。