漏洞掃描是什么？怎么做？

漏洞掃描

漏洞掃描是指基于漏洞數(shù)據(jù)庫，通過掃描等手段對(duì)指定的遠(yuǎn)程或者本地計(jì)算機(jī)系統(tǒng)的安全脆弱性進(jìn)行檢測，發(fā)現(xiàn)可利用漏洞的一種安全檢測（滲透攻擊）行為。漏洞掃描按掃描器所處位置，可分為內(nèi)網(wǎng)掃描和外網(wǎng)掃描。而按照工作方式，又可以將漏洞掃描分為遠(yuǎn)程掃描和本地掃描。顧名思義，遠(yuǎn)程掃描和本地掃描的區(qū)別在于是否登陸目標(biāo)服務(wù)器。

OWASP-TOP10

OWASP是 open web application security project 的縮寫。這個(gè)系列主要介紹這十個(gè)最多被攻擊的安全漏洞。

1.注入攻擊 （Injection）

2.無效身份認(rèn)證（Broken Authentication）

3.敏感信息泄漏（Sensitive Data Exposure）

4.XML外部處理器漏洞（XML External Entities (XXE)）

5.無效存取控管（Broken Access Control）

6.錯(cuò)誤設(shè)置安全系統(tǒng)（Security Misconfiguration）

7.跨站攻擊（Cross-Site Scripting (XSS)）

8.不安全的反序列化漏洞（Insecure Deserialization）

9.使用已有漏洞元件（Using Components with Known Vulnerabilities）

10.日志和監(jiān)控不足風(fēng)險(xiǎn)（Insufficient Logging and Monitoring）

漏洞掃描怎么做？

1、信息收集：識(shí)別主機(jī)和受限主機(jī)（即不測試的系統(tǒng)和設(shè)備）和被測件。

2、發(fā)現(xiàn)和漏洞掃描：利用掃描工具和技術(shù)來發(fā)現(xiàn)操作系統(tǒng)和應(yīng)用程序漏洞。（基于網(wǎng)絡(luò)或經(jīng)過身份驗(yàn)證的掃描）。

3、提交漏洞：提交漏洞來源和簡單的整改意見進(jìn)行整改，完成后再次回歸測試直到低微風(fēng)險(xiǎn)項(xiàng)為滿意。

3、報(bào)告：出具測試報(bào)告，包含第一輪第二輪測試情況記錄。

標(biāo)簽：漏洞掃描、軟件測試報(bào)告