漏洞扫描器的使用方法(有了漏洞扫描器,如何用好?一点不成熟的小总结有了漏洞扫描器,如何用好?一点不成熟的小总结)

shiguang 2个月前 阅读:84 评论:0
    昨天晚上做梦,梦见不知道在之前还是现在的哪家公司,跟同事老板谈hc,说到,当前最大的问题是,人力问题,是人力不够。只有人力解决了,这个team才能运转下去。我就问,那你们团队是做啥的呢?他说做扫描器和漏洞运营。梦里就开始回想在以前公...

  

漏洞扫描器的使用方法

  昨天晚上做梦,梦见不知道在之前还是现在的哪家公司,跟同事老板谈hc,说到,当前最大的问题是,人力问题,是人力不够。只有人力解决了,这个team才能运转下去。我就问,那你们团队是做啥的呢?他说做扫描器和漏洞运营。梦里就开始回想在以前公司中,各种方法有效的效率提高和人力节省措施,我就回了一句,人力当然重要,不然事情做不起来,同时在有一定人力的情况下,方法更重要。接着,就开始就扫描器的使用高谈阔论了起来。

  啥?扫描器不就一个工具么?有几个人不会用?

  这里就讲一讲在甲方互联网公司,扫描器在具体实践中的用法,个人浅见,欢迎交流分享……头次发文,不知道会被喷到多惨……

  一、扫描器哪里来?

  以前就职的两家公司里,黑盒扫描器都是自研,白盒扫描器只有其中一家有。直到有一次某M公司来做分享,才知道,原来他们的黑白盒扫描器都是靠购买的,乙方提供产品和售后支持。当时纳闷儿,如果是乙方提供,就不怕到时候也不知道代码,添加规则的时候不能满足需求吗?M公司的专家解释,以前M也是自研扫描器,但是发现的问题是,扫描器的开发维护团队的目标,很多时候和具体运营的安全团队是不一致的,更新规则的效率效果也比较不好说;而乙方由于提供给多家服务,样本也更多,产品更专业,提供的服务也更好一些。回想起原来就职的两家公司里,除非扫描器的开发运维和安全工程师就在一个小团队,否则这其中的多个环节也确实很难保证扫描器的快速迭代。

  除了比较大的公司,如果是初创公司或者是快速增长期的公司,购买一款质量有保证,售后服务好的扫描器产品都是个不错的选择。当然如果能挖到专业的扫描器大牛过来,进行产品开发,不仅少走很多弯路,还便于内部产品对接,就更好了。

  二、扫描器谁来用?

  刚入行的时候,发现扫描器定期通过全流量,域名或ip,进行扫描,然后推送到SOC上,安全工程师来进行报警运维,以及后续漏洞的分发。这是对扫描器最早的用户的认识。

  随着时间的增长,遇到了一群群特别牛叉的小伙伴儿,见识了,除了常规安全工程师运维,还可以将安全工程师以外的员工动员起来,毕竟,安全不仅仅是一个安全团队的事情,而是一个公司,甚至还有公司外部人员一起来构建的生态。

  三、扫描器怎么用? 1. 常规黑盒扫描

  收集和维护公司流量,ip和域名信息,对这些资产进行定期全量和增量扫描。

  全量扫描,重点在于,要收集和维护公司的资产,并对资产进行有效的去重策略。周期要比增量扫描的周期长一些,这里的重点在于全,而不是快。去重也需要一套完整的策略,不过此处不作过多展开。

  增量扫描,对比原有资产库,一旦发现有新增资产,立即进行扫描,这里的重点在于要快。因为如果在历史漏洞能够有效修复的情况下,新增资产出现新漏洞或高危漏洞的可能性更大,需要尽快发现并处理。

  2. 黑盒插件扫描

  据Net Market Share 的7月份数据,占据全球浏览器排行榜首位的是Chrome浏览器,总市场份额为48.65%。实际工作中,也确实不少的程序员喜欢用Chrome浏览器。甚至于,不少浏览器直接使用的是Chrome的内核。

  在这个前提下,开发Chrome浏览器扫描插件成为了可能。

  由于黑盒扫描基于URL即可扫描发现漏洞的特性,只要通过Chrome或其内核浏览器浏览过的URL,都可以通过插件进行收集抓取,并进一步进行黑盒扫描。只要安全工程师将插件开发成功,并推广到公司的开发和测试安装使用,那么开发和测试在线下环境中就可以自行检测出漏洞,只要安全工程师准备好相应漏洞的修复方案,开发即可自行修复上线。无需等待产品上线,将安全风险暴露到外面后,外部或安全工程师再倒推给开发修复。不仅是降低了安全风险,也节省了安全工程师的工作成本。

  3. 黑盒自助扫描

  仍基于拿到URL即可扫描或爬取漏洞的特性,可以将扫描器后台功能,开发成前台产品,供对漏洞了解并未达到专业程度的开发或测试使用。

  产品形态可以就是简单的输入框,用户输入URL,点击扫描,即可对该URL进行黑盒漏洞扫描。

  对于更深度的用户,也研发定期,批量,爬虫或接口扫描等功能……可以做的事情就很丰富了。

  4.服务器扫描

  这个原理是,抓取开发或测试的服务器上的日志,推到扫描器,进行定期自动化扫描。好处是一旦配置了,就能准确的收集到最新变动的代码的日志,并且中途无须人工进行更多的操作,只需等待结果即可。

  需要注意的是,要尽量开发封装的agent,而不仅仅是接口,因为封装的agent在开发或者测试接入的时候成本更低,推广起来也更容易。如果公司内webserver类型不统一,那么可能需要开发Apache,Ngnix,lighttpd等多个适用版本来进行接入。

  5. 白盒代码扫描

  白盒的代码扫描,理论上也可以运用方法3中,输入代码路径的方式进行自主扫描。还有一种方案就是,将白盒代码扫描,封装成一个脚本或者包,推广给开发,在开发常规开发的时候,跑一遍脚本或者包,显示哪里的代码可能会产生安全漏洞。

  这个方案的难点有两点。一是,如果公司开发使用的是多种语言,那么包的适配和开发上可能就需要花比较多的心思。二是,白盒扫描本身产生的误报,想做好控制也比较难,这就要在漏报和误报间做好权衡,至少选择添加误报达到某一基准线的规则,并做好引导说明,否则容易败RP。

  6. 上线平台扫描

  如果是比较专业的公司,代码上线,一般都会有上线的平台或者系统做支撑。

  如果在上线前接入黑盒白盒扫描,并对漏洞进行修复,更是事半功倍。

  需要注意的几个事情是:

  第一,要和上线的平台打通,取得相应平台,以及平台的用户的支持,这部分建议还是先走试点然后逐步推开。

  第二,接入黑白盒扫描,不要等到最终上线那一刻再去扫描,而是尽量将扫描的步骤提前,进行预扫描,加快速度,提高用户体验。

  第三,对于扫描的结果,哪些可以不修复就上线,哪些必须修复后上线,必须制定相应的策略,明确不修复上线的风险确认方式。

  第四,对于扫描器扫描规则的维护,需要在安全自己的系统中,而不是上线的平台。这样添加规则,设置白名单,能够不受上线平台的影响,自己掌握主动权。

  最后,任何一种扫描器都不能解决所有的问题,有必要的情况下,对于重点业务可以通过设定策略,添加人工测试。

四、扫描器怎么维护?

  衡量扫描器好坏最简单的就是漏报和误报率,如何尽量降低漏报和误报,是扫描器安全上的最主要目标。当然,稳定性,效率,速度不可忽视,不过此处不做详细说明。

  1.漏报

  漏报是难免的,重要的是每次发现漏报后能够更好的处理和解决,并且和误报做好平衡取舍。漏洞一旦通过各种非扫描器的渠道上报后,要有专门的人对该漏洞进行分析和规则添加。这其中,疑似漏报的漏洞的通知规则和方式,根据漏洞类型进行初步的过滤和筛选,以及后续的规则添加都可以进行策略制定,这些都可以提高工作的效率。

  此外,对于基础资产,包括但不限于流量,域名,ip,代码路径相关信息,进行收集和维护,也是减少漏报的重要途径。不过,大公司资产分布较多,初创公司基础建设又有可能不完整,收集资产都是个不易的任务。根据过往有限的经验,如果安全团队有人力的话,最有质量的方案,是将资产梳理和资产数据,通过各种方式,汇总到自己的平台上,自己进行维护。如果依赖其他平台运维,后续无论是工作对接上,还是保证数据准确性上,都会有无穷无尽的麻烦。梳理资产确实是个比较需要耐心,恒心,毅力和沟通能力的工作。

  2.误报

  这里涉及到的是添加规则。如果是自研扫描器,非常非常建议,添加规则是通过动态配置,而非更新代码。因为规则本身就是不断变化的,如果每次规则变化都依赖开发,后续的麻烦,你懂的。

  最后,安全不是一个团队的事情,而是联合公司内外各种力量建立起来的生态。

  任何一种扫描器也无法扫描出全部的漏洞。

  向奋斗在第一线的安全从业人员致敬。

  文章来源:FreeBuf

  作者:安惞

版权声明

本文仅代表作者观点,不代表百度立场。
本文系作者授权百度百家发表,未经许可,不得转载。

分享:

扫一扫在手机阅读、分享本文

发表评论
热门文章
  • LOL换肤大师和uu动态按键和云顶换肤防封版v14.22

    LOL换肤大师和uu动态按键和云顶换肤防封版v14.22
    特效+动态特效换肤 - 游戏内按键特效换肤,独家开发!欢迎体验!告别以往游戏内换皮不换肉,只换外表,没有特效的时代  游戏内动态按键换皮肤,还有特效,关键还是免费软件换肤交流群 :818323763 加过其他群的不用再加!按pageUp 和 pageDown键 换肤!!先登录游戏到大厅,以管理员打开软件,点击启动即可,请勿手动关闭软件下载地址:https://52fz.lanzoup.com/ifPqx2fyig8j...
  • lol皮肤盒子哪个最稳(为什么LOL皮肤盒子价格相差这么多?说百分百不封号可信吗?)

    lol皮肤盒子哪个最稳(为什么LOL皮肤盒子价格相差这么多?说百分百不封号可信吗?)
    今天给各位分享lol皮肤盒子哪个最稳的知识,其中也会对为什么LOL皮肤盒子价格相差这么多?说百分百不封号可信吗?进行解释,如果能碰巧解决你现在面临的问题,别忘了关注本站,现在开始吧!我记得有个叫lol换肤大师的,下载下来之后解压叫lolskin。这个挺稳定的,我以前用过一段时间,没封过。我下载过一个叫uu换肤的,用了很多次,没出现过问题关于lol皮肤盒子哪个最稳和为什么LOL皮肤盒子价格相差这么多?说百分百不封号可信吗?的介绍到此就结束了,不知道你从中找到你需要的信息了吗 ?...
  • 你是我带过最差的一届骗子_你们这一届骗子,是我见过最差的一届!!!

    你是我带过最差的一届骗子_你们这一届骗子,是我见过最差的一届!!!
      吐槽一波,最近在网上看到的那些奇葩的骗子。论编故事的能力,除了朋友圈的微商,我只服这些骗子。  他们紧跟时事热点,不错过一丝机会。明星出轨、人工智能打败围棋大师,这种和正常人生活八竿子都打不到的事件,他都能编个脑洞大开的故事来骗你。▼▼然而再鸡贼的骗子也抵不过我们曲折的套路1234567  骗子:玛德,怎么会遇到这些蛇精病,思路都给老子打乱了!  哈哈哈哈,这种智商还出来骗人,监狱就是你下一个家啊!你们这一届骗子,是我见过最差的一届!!!  任  桐乡百事通QQ:2256...
  • 英雄联盟辅助_LOL大神培训营,英雄联盟不能缺失你的助手

    英雄联盟辅助_LOL大神培训营,英雄联盟不能缺失你的助手
      【英雄联盟LOL】当下最热门的竞技类网游了吧?是不是很多人跟我一样,玩一款游戏就经常上很多网站去看资讯、查攻略,很繁琐。现在只要安装一个【掌上英雄联盟】就够了,它是腾讯游戏英雄联盟官方发行的一款app,把LOL与生活完美结合,随时随地掌握一手LOL资讯。    首页“最新”内容资讯最先知道。     “赛事”情况,玩家们最关心的也有。     赛事“视频”录播,高手玩家视频,自己成神的道理上,总少不了看高手视频这个阶段。     “官方”顾名思义,就是官网最新的更新动态,...
  • 我的世界手机版钻石兑换码_《我的世界手机版》钻石换经验方法介绍

    我的世界手机版钻石兑换码_《我的世界手机版》钻石换经验方法介绍
      我的世界手机版传说可以使用钻石来刷经验,各位玩家如果是土豪的话可以采用这种方法:  首先我们搭出一个框架:    接着在里面铺满岩浆:     然后放钻石进去吧:     经验滚滚而来:     赶紧收集吧!     以上就是当乐网小编今天给大家带来的 我的世界手机版的攻略分享,各位玩家可以试试这种方法,看看行不行得通。   ??我的世界手机版必备软件下载??  我的世界手机版下载我的世界手机版启动器我的世界手机版编辑器我的世界游戏软件我的世界手机版种子生成器我的世界手机...