漏洞掃描器是如何工作的

漏洞掃描器是一種自動化工具，允許組織檢查他們的網絡、系統和應用程序是否存在可能使他們受到攻擊的安全漏洞。漏洞掃描是跨企業網絡的常見做法，行業標準和政府法規通常要求進行漏洞掃描，以改善組織的安全狀況。

外部和內部漏洞掃描工作

漏洞掃描可以從外部或內部網絡或正在評估的網段執行。組織可以從其網絡外圍運行外部掃描，以確定可直接從 Internet 訪問的服務器和應用程序的攻擊風險。同時，內部漏洞掃描旨在識別黑客可以利用的漏洞，如果他們獲得對本地網絡的訪問權限，就可以橫向移動到不同的系統和服務器。

訪問內部網絡部分的難易程度取決于網絡的配置方式，更重要的是，網絡的分段方式。因此，任何漏洞管理程序都應該從組織系統的映射和清單開始，并根據它們提供的訪問權限和持有的數據對其重要性進行分類。

經過身份驗證和未經身份驗證的漏洞掃描工作

漏洞掃描可以是經過身份驗證的和未經身份驗證的，也可以是有憑據的和無憑據的。無憑據掃描發現計算機上通過網絡打開的服務并在其開放端口上發送數據包以確定操作系統的版本、這些服務背后的軟件版本、是否有打開的文件共享以及其他無需身份驗證即可獲得的信息。根據這些詳細信息，掃描程序搜索漏洞數據庫并列出這些系統上可能存在的漏洞。

經過身份驗證的掃描使用登錄憑據來收集有關操作系統和安裝在掃描機器上的軟件的更詳細和準確的信息。某些程序可能無法通過網絡訪問，但仍可能存在暴露給其他攻擊媒介的漏洞，例如打開惡意制作的文件或訪問惡意網頁。一些漏洞評估解決方案除了使用網絡掃描器外，還使用部署在計算機上的輕量級軟件代理，以更好地了解組織中各種系統的安全狀態。

雖然經過身份驗證的掃描收集了更好的信息，因此可以比未經身份驗證的掃描發現更多的漏洞，但漏洞掃描通常會產生一些誤報結果。這是因為可能存在已通過各種變通方法或安全控制緩解的漏洞，而無需安裝補丁和更新受影響的應用程序版本。

在某些情況下，漏洞掃描會導致網絡擁塞或減慢系統速度，這就是為什么它們經常在不太可能造成中斷的正常工作時間之外執行。

安全團隊需要對掃描器識別的漏洞進行審查、分類和調查，而且很多時候漏洞掃描器是旨在協助整個漏洞管理過程的大型解決方案的一部分。

Web 應用程序漏洞掃描工作

Web 應用程序漏洞掃描器是專門的工具，可以發現網站和其他基于 Web 的應用程序中的漏洞。雖然網絡漏洞掃描器掃描 Web 服務器本身，包括其操作系統、Web 服務器守護程序和各種其他開放服務，例如運行在同一系統上的數據庫服務，但 Web 應用程序掃描器專注于應用程序的代碼。

與使用已知漏洞和錯誤配置數據庫的網絡漏洞掃描器不同，Web 應用程序掃描器會查找常見類型的 Web 漏洞，例如跨站點腳本 (XSS)、SQL 注入、命令注入和路徑遍歷。因此，他們可以找到以前未知的漏洞，這些漏洞可能是測試應用程序獨有的。這也稱為動態應用程序安全測試 (DAST)，通常由滲透測試人員使用。

Web 應用程序掃描器與靜態應用程序安全測試 (SAST) 工具一起使用，這些工具在開發階段分析 Web 應用程序的實際源代碼，作為安全開發生命周期 (SDLC) 的一部分。開放式 Web 應用程序安全項目 (OWASP) 維護了DAST和SAST工具的列表，并為它們運行了一個基準測試項目。

根據它們的配置方式，外部 Web 應用程序漏洞掃描可能會產生大量流量，這可能會使服務器過載并導致拒絕服務和其他問題。因此，漏洞測試通過所謂的交互式應用程序安全測試 (IAST) 工具集成到 DevOps 和 QA 流程中是很常見的，這些工具是 SAST 和 DAST 的補充。這有助于在應用程序投入生產之前識別漏洞和不安全的配置。

回答所涉及的環境：聯想天逸510S、Windows 10。