漏洞管理周期有以下七個階段：

• 漏洞發現（掃描）：不管治理工作有多重要，漏洞發現一定是第一步的，只有發現，才會涉及治理。

• 漏洞修復：對于修復，安全團隊要從督促和協助兩個方面進行，所謂督促是從監督層面用各種辦法讓相關方盡快修復漏洞，協助就是提供必要的技術支持。

• 復查：這是一般的漏洞掃描都不會落下的工作，安全部門需要確認漏洞是否真的被修復了。

• 復發判斷及處理：對于復發的處理是個可選項，有些情況下漏洞明明已經修復，但是由于恢復系統而將漏洞同步恢復的情況也有。如果能夠對復發進行特別的處理，就可以讓業務部門更重視這類情況。

• 時效性管理：對于不同威脅程度的漏洞，要有不同的修復時限，這是對漏洞修復的進一步要求。同時對超時修復漏洞的管理也基于時效性的規定。

• 數據統計：有了各個環節的管理，后續的數據統計就比較簡單了，主要看安全團隊需要從哪些角度進行數據統計，比如：累計發現漏洞數、各類漏洞數占比、未修復漏洞數量及占比、各業務部門超時漏洞數量排名（或超時時間排名）等。這些數據統計方法要根據各企業的實際情況輸出，有些統計還是比較容易引發部門矛盾的，所以在捋順內部關系之前，數據可以留在后臺，而慎用展示手段。

• 通報制度：有了統計數據，就可以通過各種手段通報了，例如：例會、大屏展示、安全周報等。這些通報最好提前制度化，而非“隨心所欲”地通報。因為“隨心所欲”會讓人當成是“別有用心”。

解析漏洞主要是一些特殊文件被Apache、IIS、Nginx等Web容器在某種情況下解釋成腳本文件格式并得以執行而產生的漏洞。主要有：

IIS 5.x/6.0解析漏洞

目錄解析:在網站下建立文件夾的名稱中帶有.asp、.asa等可執行腳本文件后綴的文件夾，其目錄內的任何擴展名的文件都被IIS當作可執行文件來解析并執行。

http://www.xxx.com/xx.asp/xx.jpg

文件解析:在IIS6.0下，分號后面的不被解析，也就是說6.0下，分號后面的不被解析，也就是說xx.asp;.jpg將被當做xx.asp解析并執行。

http://www.xxx.com/xx.asp;.jpg

IIS6.0 默認的可執行文件有asp、asa、cer、cdx四種。

IIS 7.0/IIS 7.5/ Nginx < 0.8.3畸形解析漏洞

在默認Fast-CGI開啟狀況下，訪問以下網址，服務器將把xx.jpg文件當做php解析并執行。

http://www.xxx.com/xx.jpg/.php

Nginx < 8.03 空字節代碼執行漏洞

影響范圍：Nginx0.5.,0.6., 0.7 <= 0.7.65, 0.8 <= 0.8.37

訪問以下網址，服務器將把xx.jpg文件當做php解析并執行。

http://www.xxx.com/xx.jpg%00.php

Apache解析漏洞

Apache對文件解析是從右到左開始判斷解析,如果文件的后綴為不可識別,就再往左判斷，解析。 如xx.php.owf.rar，由于Apache無法解析rar和owf后綴，但能夠解析php后綴，因此Apache會將xx.php.owf.rar當做php格式的文件進行解析并執行。

訪問以下網址，服務器將把xx.php.owf.rar文件當做php解析并執行。

http://www.xxx.com/xx.php.owf.rar

CVE-2013-4547 Nginx解析漏洞

訪問以下網址，服務器將把xx.jpg文件當做php解析并執行。

http://www.xxx.com/xx.jpg（非編碼空格）0.php

使用.htaccess將任意文件作為可執行腳本解析

如果在Apache中.htaccess可被執行.且可被上傳.那可以嘗試在.htaccess中寫入:

<FilesMatch ".(jpg)$"> SetHandler application/x-httpd-php </FilesMatch>

這將把目錄下的所有后綴為jpg的文件當做可執行的php腳本進行解析并執行。

下一代防火墻的功能有：

• 應用識別與控制：下一代防火墻依托先進的應用識別技術，在性能、安全性、易用性、可管理性等方面有了質的飛躍，下一代防火墻一般可識別超過上千種應用程序，而不論應用程序使用何種端口、協議、SSL、加密技術或逃避策略。

• 用戶識別與控制：通過與認證系統的完美集成，對應用程序使用者實現基于策略的可視化和控制功能。提供基于用戶與用戶組的訪問控制策略，使管理員能夠基于各個用戶和用戶組來查看和控制應用使用情況。在所有功能中均可獲得用戶信息，包括應用控制策略的制定和創建、取證調查和報表分析。管理員亦可將用戶信息編輯成Excel、TXT文件，將賬戶導入，實現快捷的創建用戶和分組信息。 支持多種身份認證方式，幫助組織管理員有效區分用戶，建立組織身份認證體系，進而形成樹形用戶分組，映射組織行政結構，實現用戶與資源的一一對應。下一代防火墻支持為未認證通過的用戶分配受限的網絡訪問權限，將通過Web認證的用戶重定向至顯示指定網頁，方便組織管理員發布通知。

• 內容識別與管控：下一代防火墻可以將數據包還原的內容級別進行全面的威脅檢測，還可以針對黑客入侵過程中使用的不同攻擊方法進行關聯分析，從而精確定位出一個黑客的攻擊行為，有效阻斷威脅風險的發生，幫助用戶最大程度減少風險短板的出現，保證業務系統穩定運行。通過內容識別技術，下一代防火墻實現了阻止病毒、間諜軟件和漏洞攻擊，限制未經授權的文件和敏感數據的傳輸，控制與工作無關的網絡瀏覽等功能。

• 流量管理與控制：傳統防火墻的QoS流量管理策略是簡單的基于數據包優先級的轉發，當用戶帶寬流量過大、垃圾流量占據大量帶寬，而這些流量來源于同一合法端口的不同非法應用時，傳統防火墻的QoS無能為力。

• 下一代防火墻提供基于用戶和應用的流量管理功能，能夠基于應用做流量控制，實現阻斷非法流量、限制無關流量保證核心業務的可視化流量管理價值。首先，下一代防火墻將數據流根據各種條件進行分類（如IP地址，URL，文件類型，應用類型等分類），分類后的數據包被放置于各自的分隊列中，每個分類都被分配了一定帶寬值，相同的分類共享帶寬，當一個分類上的帶寬空閑時，可以分配給其他分類，其中帶寬限制是通過限制每個分隊列上數據包的發送速率來限制每個分類的帶寬，提高了帶寬限制的精確度。

• 下一代防火墻可以基于不同用戶(組)、出口鏈路、應用類型、網站類型、文件類型、目標地址、時間段進行細致的帶寬劃分與分配，精細智能的流量管理既防止帶寬濫用，提升帶寬使用效率。