Hackerone
什么是漏洞评估?
漏洞评估系统地评估您的系统,寻找安全弱点和漏洞。评估为安全团队提供信息,以对弱点进行分类、优先排序和补救。
评估超出了您在典型漏洞扫描中所发现的范围,通常涉及一个专门的团队或一组外包的道德黑客来执行评估。
漏洞评估发现哪些类型的威胁?
漏洞评估可以发现具有不同严重程度的漏洞。它还可以确认您的 IT 环境符合行业和政府标准。以下是在典型评估中发现的一些常见漏洞。
- 容易猜测或暴力破解的弱密码
- 攻击者可以通过 SQL 注入或 XSS 攻击利用的代码注入漏洞
- 未打补丁的应用程序或操作系统
- 错误配置,例如未更改的默认设置或易受攻击的开放端口
漏洞评估的四个步骤
定义范围
在开始评估之前,网络所有者必须设置范围以确定要测试的网络、系统和应用程序。范围通常由不同的域或子域进一步定义和分隔。
范围还可以准确地包括如何测试漏洞,并可以指定其他参数。例如,一些组织可能会声明测试电子邮件漏洞不能包括对其员工的网络钓鱼攻击,并且必须使用特定的电子邮件地址。
查看系统功能
在运行漏洞评估之前,安全团队将审查不同范围的系统和应用程序。审查阶段有助于确定被利用的漏洞将如何影响业务功能。
执行漏洞扫描
黑客可以使用各种工具和技术来测试系统的完整性。测试人员通常从自动扫描开始,首先寻找最常见的漏洞,包括应用程序、网络基础设施和主机。
测试人员继续采用手动测试方法,该方法使用自定义代码来识别漏洞。手动编码可能很耗时,但对于识别特定于应用程序的错误和零日漏洞至关重要。
创建漏洞评估报告
评估报告概述了已识别的扫描漏洞并强调了补救步骤。这些建议与严重性评级相结合,使安全团队能够确定他们将首先修补哪些漏洞。
大多数漏洞披露报告包括以下内容:
- 漏洞名称和发现时间
- 基于CVE数据库的漏洞风险评分
- 漏洞影响哪些系统
- 概念利用证明或不良行为者如何利用漏洞的演示
- 修复步骤
漏洞评估的类型
安全团队可以针对特定系统或整个组织进行评估。有四种不同类型的测试:
网络评估
网络评估针对公共或专用网络上的网络资源,并测试网络级别的安全策略。
应用评估
应用程序评估测试漏洞,例如跨站点脚本攻击和不安全的加密存储。
数据库评估
在数据库评估期间,黑客会测试 SQL 注入或错误配置等漏洞。这些测试可以识别不安全的测试环境和数据库文件存储不当等问题。
主机评估
主机评估检查网络上的服务器是否存在漏洞和漏洞,包括 LDAP 注入、权限提升或默认凭据较弱的帐户。
漏洞评估工具
黑客使用各种工具来查找不同系统和网络部分中的漏洞。
OpenVAS
OpenVAS 是一种漏洞扫描器,用于测试互联网协议并包含其内部编程语言,允许测试人员进一步定制他们的评估。
Nmap
Nmap 是一种广泛使用的网络映射工具,用于发现开放端口、易受攻击的服务以及内部网络的布局。Nmap 在漏洞评估的早期与其他探测工具结合使用效果很好。
Burp Suite
Burp Suite 为黑客提供了用于内部和外部测试的自动化漏洞扫描工具。由于其全面的工具包,它在新老黑客中很受欢迎。
Nessus
Nessus 是开源软件,通过基于订阅的服务提供深入的漏洞扫描。黑客使用 Nessus 来识别错误配置、快速发现默认密码并执行漏洞评估。
漏洞评估与渗透测试
漏洞评估识别漏洞但不利用这些缺陷。许多漏洞评估使用扫描工具对漏洞进行排名,允许安全专业人员优先修复漏洞。
渗透测试是一种不同的安全测试选项,从漏洞扫描开始,它使用人工测试人员利用漏洞来获得未经授权的系统访问。
组织使用渗透测试来模拟攻击者在全面利用漏洞时可能造成的破坏程度。漏洞评估通常是自动化的,可以通过在渗透测试之间提供频繁的洞察来补充渗透测试。
漏洞赏金与漏洞评估
漏洞赏金计划使用人类测试人员来寻找漏洞、发现漏洞并对其严重性进行排名。漏洞赏金激励黑客成功发现和报告漏洞或漏洞,并且是公司利用黑客社区随着时间的推移改善其系统安全状况的一种方式。
如果您的目标是更全面的漏洞披露和安全测试,漏洞赏金计划是更好的选择,但不排除漏洞评估。
这两种类型的测试相辅相成。虽然漏洞赏金利用黑客驱动的安全性来发现更复杂的漏洞,但漏洞评估提供了一致性和便利性,使安全团队能够领先于针对产品和功能发布等重大计划的重点、时间有限的安全测试。这些方法的组合使安全团队能够更好地解决所有漏洞,改进他们的安全配置文件,并最大限度地减少漏洞利用。
📮评论