2.漏洞扫描技术
漏洞扫描一般分为特征匹配和漏洞验证程序(Proof of Concept,简称POC)漏洞验证。
特征匹配技术指的是构造特定载荷发送到扫描对象,根据响应中是否存在相应特征,来判断漏洞是否存在。
例如宝塔面板曾经存在的未授权访问漏洞为可以匿名直接访问受保护的后台页面,扫描器发送目标网址为http://网站域名/pma的数据包,如果返回结果中存在状态码200OK的返回值,则说明漏洞可能存在。
这样的验证方式存在两个明显弊端,一是验证漏洞需要发送大量的数据包,容易被安全设备或服务器认定为攻击行为而进行拦截阻断;二是单纯发送带有某个验证规则的探测包,准确率低,容易产生误报。
POC验证实现了漏洞从发现到利用的全过程,首先模拟正常行为去访问可能存在漏洞的对象,再根据响应结果判断漏洞是否存在,从而减少批量验证造成安全设备的拦截。
成熟的POC通用性很强,可以针对不同版本的组件进行漏洞验证。大量安全类工具和网站集成和公布了漏洞利用POC,并有长期更新和维护,以此为代表的有Metasploit和www.exploit-db.com。
问题和挑战
1.通用扫描不适用于特定资产漏洞探测
当前的通用漏洞扫描器如Nessus等,侧重于对定义好的批量IP或网站进行周期性扫描。
如保护对象为特定资产,采用的漏洞扫描体系需具备与资产数据库发生数据联动的能力,以扫描特定网络空间资产、关注特定架构安全。
如果扫描器面对的网络空间资产处于“黑箱”状态,则需要进行大量的前期探测来猜解目标资产。
随着资产管理人员安全意识的提升,很多资产都取消或者隐藏了版本信息,并修改了可能暴露开放服务特征的信息,传统扫描器越来越难以获取到目标资产的准确信息。
2.主机扫描器侵入性强,可能带来风险
针对特定对象的漏洞扫描大多是侵入式的主机扫描,对于某些关键信息资产,引入全自动化的扫描器本身就是一种安全风险,扫描器本身的设计机制也可能对资产提供的服务产生负面影响。
扫描器缺少目标资产的详细服务信息,往往采用遍历法寻找开放端口和潜在漏洞,在短时间内会向目标对象发送大量的探测数据包。
目标资产处理能力不足时,这一行为可能会成为DoS(拒绝服务攻击)的来源,影响其对外正常提供服务。
对于某些配置了防火墙的资产,这一操作还可能触发防火墙本身的告警阻断机制,产生虚假警报,增加运维管理的工作量,同时干扰正常业务访问。
漏洞信息探测设计
针对上述问题,