压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　掐指一算，以乙方的角色做了一年有多的安全評(píng)估工作了，在與客戶、加固人員交流的過(guò)程中遇到了不少問(wèn)題，也思考了應(yīng)該怎么去改進(jìn)，本文寫(xiě)寫(xiě)一些想法，歡迎批評(píng)指正。

　　面臨的問(wèn)題：

　　1.客戶和加固人員認(rèn)為：安全評(píng)估不就是拿個(gè)掃描器掃一掃、然后丟出一個(gè)報(bào)表嘛，誰(shuí)不會(huì)；

　　2.內(nèi)網(wǎng)掃描報(bào)告，往往有讓人望而卻步的高、中、低危漏洞千百個(gè)，你讓客戶情何以堪，你讓加固人員怎么活命；

　　3.評(píng)估人員、加固人員、客戶由于“道行”不同，或者“立場(chǎng)”不同，導(dǎo)致對(duì)漏洞的理解各不相同，扯皮時(shí)有發(fā)生；

　　4.掃描報(bào)告中的高、中、低危險(xiǎn)標(biāo)識(shí)，不和資產(chǎn)價(jià)值、業(yè)務(wù)系統(tǒng)重要程度掛鉤，導(dǎo)致加固沒(méi)有次重點(diǎn)，多次加固評(píng)估無(wú)法體現(xiàn)風(fēng)險(xiǎn)的消減程度；

　　希望做到：

　　1.區(qū)別對(duì)待千百個(gè)高、中、低危險(xiǎn)漏洞，可以做撒網(wǎng)式掃描，不能做撒網(wǎng)式加固；

　　2.嘗試以更加專(zhuān)業(yè)的角度面對(duì)客戶和加固人員，對(duì)掃描結(jié)果進(jìn)一步深加工處理；

　　3.把漏洞和資產(chǎn)價(jià)值，業(yè)務(wù)系統(tǒng)掛鉤，區(qū)別的對(duì)待安全漏洞讓加固工作更具可操作性；

　　下面提供一些深加工掃描報(bào)告的思路

　　1.漏洞分類(lèi)：

　　操作系統(tǒng)漏洞：微軟的，Unix的，Linux的，Solaris的等

　　業(yè)務(wù)軟件漏洞：oracle，weblogic，struts2，PHP等

　　網(wǎng)絡(luò)和安全設(shè)備漏洞：cisco，h3c，華為等

　　輔助程序漏洞：ftp，office，ie，openssh等

　　2.漏洞利用難易程度

　　直接利用成功率高：

　　弱口令

　　MS08-067，Struts

　　間接利用成功率高：

　　IE漏洞—需要制造木馬網(wǎng)頁(yè)，引誘用戶點(diǎn)擊

　　office漏洞—需要發(fā)送病毒文檔，通過(guò)打開(kāi)病毒文檔入侵

　　（存在運(yùn)氣成分，而且基本只能在PC終端才會(huì)中招）

　　成功率很低的漏洞：

　　一些溢出漏洞（和用戶環(huán)境、版本、語(yǔ)言等相關(guān)性高）

　　偏門(mén)的程序漏洞（沒(méi)有現(xiàn)成的exp，需要代碼級(jí)的能力）

　　3.漏洞真實(shí)性、準(zhǔn)確性

　　了解掃描器的掃描原理有助于我們對(duì)漏洞的把握，及時(shí)排除誤報(bào)漏洞。

　　精確掃描：本次為精確掃描，極少出現(xiàn)誤報(bào)。

　　原理掃描：本次掃描根據(jù)原理進(jìn)行，可能存在誤報(bào)。

　　版本掃描：本次掃描根據(jù)版本進(jìn)行，可能存在誤報(bào)。

　　暴力破解：本次掃描通過(guò)暴力猜測(cè)方式證實(shí)目標(biāo)主機(jī)上的XX服務(wù)存在可猜測(cè)的口令。

　　4.加固思路

　　加固最好有計(jì)劃、有步驟進(jìn)行，加固順序參考業(yè)務(wù)系統(tǒng)重要程度。

　　優(yōu)先加固利用成本低成功率高的漏洞（弱口令等）。。。。

　　操作系統(tǒng)漏洞：強(qiáng)烈建議安裝修復(fù)

　　業(yè)務(wù)軟件漏洞：需要評(píng)估對(duì)業(yè)務(wù)系統(tǒng)的影響

　　網(wǎng)絡(luò)和安全設(shè)備漏洞：較少

　　輔助程序漏洞：特別關(guān)注輔助程序是否需要用，是否有可替代的程序。特別關(guān)注一些默認(rèn)安裝帶來(lái)的不必要漏洞。

　　5.更進(jìn)一步，我們可能應(yīng)該學(xué)習(xí)和關(guān)注的

　　業(yè)務(wù)漏洞

　　邏輯漏洞

　　物理漏洞等等掃描器掃不出來(lái)，但是影響很大的漏洞