漏洞它是计算机信息系统在需求、设计、实现、配置、运行等过程中,有意或无意产生的缺陷。这些缺陷会以不同的形式存在于计算机信息系统的各个层次和环节之中,通常情况下不影响软件的正常功能,但如果被恶意主体所利用,有可能驱使软件去执行一些额外的恶意代码,就会对计算机信息系统的安全造成损害,从而影响计算机信息系统的正常运行,引发严重的后果。
常见的漏洞有缓冲区溢出漏洞、整数溢出漏洞、指针覆盖漏洞、权限绕过等。
网络安全的从业者经常会碰到漏洞库、设备库、指纹库、漏挖、漏扫、防火墙、审计、渗透测试攻击、poc、snort、cnnvd等这些专业名词,这些专业名称都与漏洞都存在着千丝万缕的联系。
下图是一张漏洞关系图,此图以漏洞为核心,表现出了相关名词概念与漏洞之间的关联关系。
漏洞库及信息共享平台
漏洞库是存储漏洞信息的数据库,是漏洞信息的集合。通常在漏洞扫描工具、等保检查工具箱中需要用到。每家安全公司的漏扫产品使用的数据库形式可能不太一样。网络安全产品中的漏洞库的信息输入大部分来自于开源漏洞信息共享平台,比如CNNVD、CNVD等,也可能来自安全厂商自己发现的0 Day漏洞。
1、国家信息安全漏洞库(CNNVD)
国家信息安全漏洞库,英文名称"China National Vulnerability Database of Information Security "简称"CNNVD",于2009年10月18日正式成立,是中国信息安全测评中心为切实履行漏洞分析和风险评估的职能,负责建设运维的国家信息安全漏洞库,面向国家、行业和公众提供灵活多样的信息安全数据服务,为我国信息安全保障提供基础服务。
CNNVD是中国信息安全测评中心为切实履行漏洞分析和风险评估职能,在国家专项经费支持下,负责建设运维的国家级信息安全漏洞数据管理平台,旨在为我国信息安全保障提供服务。
CNNVD通过自主挖掘、社会提交、协作共享、网络搜集以及技术检测等方式,联合政府部门、行业用户、安全厂商、高校和科研机构等社会力量,对涉及国内外主流应用软件、操作系统和网络设备等软硬件系统的信息安全漏洞开展采集收录、分析验证、预警通报和修复消控工作,建立了规范的漏洞研判处置流程、通畅的信息共享通报机制以及完善的技术协作体系,处置漏洞涉及国内外各大厂商上千家,涵盖政府、金融、交通、工控、卫生医疗等多个行业,为我国重要行业和关键基础设施安全保障工作提供了重要的技术支撑和数据支持,对提升全行业信息安全分析预警能力,提高我国网络和信息安全保障工作发挥了重要作用。
2、 国家信息安全漏洞共享平台(CNVD)
国家信息安全漏洞共享平台(China National Vulnerability Database,简称CNVD)是由国家计算机网络应急技术处理协调中心(中文简称国家互联应急中心,英文简称CNCERT)联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的国家网络安全漏洞库。
建立CNVD的主要目标即与国家政府部门、重要信息系统用户、运营商、主要安全厂商、软件厂商、科研机构、公共互联网用户等共同建立软件安全漏洞统一收集验证、预警发布及应急处置体系,切实提升我国在安全漏洞方面的整体研究水平和及时预防能力,进而提高我国信息系统及国产软件的安全性,带动国内相关安全产品的发展。
CNNVD和CNVD两者都同步CVE的漏洞信息并翻译成中文,两者都接受漏洞报送,但是两者信息不会相互共享。两者独立收录的漏洞信息也不会和CVE同步。CNVD实际维护团队是恒安嘉新,CNNVD是正式的国家官方漏洞库,维护团队也是官方正式人员。
3 、漏洞编号
每个漏洞共享平台都会为每个漏洞分配一个唯一的编号。CNNVD的漏洞编号为:CNNVD-年月-顺序号(如CNNVD-201907-1598);CNVD的漏洞编号为:CNVD-年份-顺序号(如CNVD-2019-26836);NVD的漏洞编号为:CVE-年份-顺序号(如CVE-2019-14770)。
各漏洞平台也会相互引用漏洞信息(美国的NVD相对强大、权威,因此都是CNNVD和CNVD在同步引用NVD)。如CNVD的CNVD-2019-26836漏洞与NVD的CVE-2019-14770漏洞是同一个漏洞,CNNVD的CNNVD-201907-1598漏洞与NVD的CVE-2019-1901漏洞是同一个漏洞。
4、防火墙、审计和入侵检测规则
黑客往往利用信息系统存在的漏洞发起攻击,那如何在网络中及时发现黑客的漏洞利用攻击行为呢?这就可以使用防火墙、审计、IPS、IDS等产品。这些产品集成了IPS入侵检测规则,能够及时发现漏洞利用攻击行为。
Snort和Suricate是两个比较优秀的开源入侵检测引擎,许多防火墙、审计、IPS、IDS等产品内部使用的入侵检测引擎都可能是Snort或Suricate。
除了购买Snort和Suricate官方的入侵检测规则,也可以自己编写,要编写漏洞利用的入侵检测规则,首先需要获取到该漏洞的POC才可以做到。
入侵检测规则库和前面提到的漏洞库、设备库、指纹库,以及其它安全产品中的白名单库、黑名单库等统称为安全产品的“特征库”。
5、漏洞挖掘
对于已知漏洞,可用漏扫工具检测,也可以用渗透测试工具进行验证。对于系统或设备存在的未知漏洞,这就得依赖漏洞挖掘了,漏洞挖掘通常采用漏洞挖掘工具自动挖掘,也可以采用人工的方式进行挖掘,或者两者结合挖掘。
漏洞挖掘工具一般采用模糊测试,使用漏洞挖掘工具通常可挖出拒绝服务类漏洞,堆栈溢出类漏洞等。模糊测试(Fuzzing),是一种通过向目标系统提供非预期的输入并监视异常结果来发现软件漏洞的方法。在模糊测试中,用随机坏数据(也称做 fuzz)攻击一个程序,接着等着观察哪里遭到了破坏。模糊测试的技巧在于,它是不符合逻辑的:自动模糊测试不去猜测哪个数据会导致破坏,而是将尽可能多的杂乱数据投入程序中。模糊测试是一项简单的技术,但它却能揭示出程序中的重要 bug。它能够验证出现实世界中的错误模式并在您的软件发货前对潜在的应当被堵塞的攻击渠道进行提示。
人工漏洞挖掘方法相对灵活,比如白盒测试、软件逆向等。人工挖掘更容易挖到权限绕过类漏洞、代码注入类漏洞等。
漏洞扫描工具
漏洞扫描工具,它是用来扫描信息系统和设备(如操作系统、应用软件、网站、工业控制系统、工业控制设备等)漏洞的工具。其以漏洞数据库、设备信息数据库、指纹库为基础,对本地或远程主机进行检查。漏洞扫描工具可以用来做安全审计和安全评估、软硬件上线前测试等。
比较知名的开源漏扫工具有Nessus、OpenVAS等。Nessus是比较欢迎的漏洞扫描工具,支持身份验证和未身份验证的扫描,包括网络漏洞扫描,内部和外部PCI扫描,恶意软件扫描,移动设备扫描,政策合规性审计,Web应用程序的测试,补丁审核等。OpenVAS(开放式漏洞评估系统)是一个全面而强大的漏洞扫描和漏洞管理解决方案的框架,它是开源和免费的。
漏洞扫描有两种方式:
1、直接扫描方式,每个漏洞对应一个漏洞扫描脚本,漏洞库即扫描脚本库,这种漏洞扫描方式存在一定风险,可能会对被扫描设备造成损坏,Nessus和OpenVAS就采用这种扫描方式。
2、间接扫描方式,漏洞扫描工具首先调用设备识别指纹对目标设备进行识别,接着从设备信息库中查找到该设备,然后再通过该设备信息记录的漏洞编号从漏洞库中检索出漏洞,最后将漏洞信息、修复方案等展示给用户。这种扫描方式不会对设备造成任何影响。
德迅云安全---漏洞扫描
漏洞扫描服务(Vulnerability Scan Service)集Web漏洞扫描、操作系统漏洞扫描、资产内容合规检测、配置基线扫描、弱密码检测五大核心功能,自动发现网站或服务器在网络中的安全风险,为云上业务提供多维度的安全检测服务,满足合规要求,让安全弱点无所遁形。
1、扫描全面---涵盖多种类型资产扫描,支持云内外网站和主机扫描,支持内网扫描、智能关联各资产之间的联系,自动发现资产指纹信息,避免扫描盲区。
2、高效精准---采用web2.0智能爬虫技术,内部验证机制不断自测和优化,提高检测准确率,时刻关注业界紧急CVE爆发漏洞情况,自动扫描,最快速了解资产安全风险。
3、简单易用---配置简单,一键全网扫描。可自定义扫描事件,分类管理资产安全,让运维工作更简单,风险状况更清晰了然。
4、报告全面---清晰简洁的扫描报告,多角度分析资产安全风险,多元化数据呈现,将安全数据智能分析和整合,使安全现状清晰明了。
应用场景
1、Web漏洞扫描
网站的漏洞与弱点易于被黑客利用,形成攻击,带来不良影响,造成经济损失。
常规漏洞扫描:丰富的漏洞规则库,可针对各种类型的网站进行全面深入的漏洞扫描,提供专业全面的扫描报告。
最紧急漏洞扫描:针对最紧急爆发的VCE漏洞,安全专家第一时间分析漏洞、更新规则、提供最快速专业的VCE漏洞扫描。
2、弱密码扫描
主机或中间件等资产一般使用密码进行远程登录,攻击者往往使用扫描技术来探测其用户名和弱口令。
多场景可用:全方位的OS连接,涵盖90%的中间件,支持标准Web业务弱密码检测、操作系统、数据库等弱口令检测。
丰富的弱密码库:丰富的弱密码匹配库,模拟黑客对各场景进行弱口令探测,同时支持自定义字典进行密码检测。
3、中间件扫描
中间件可帮助用户灵活、高效地开发和集成复杂的应用软件,一旦被黑客发现漏洞并利用,将影响上下层安全。
丰富的扫描场景:支持主流Web容器、前台开发框架、后台微服务技术栈的版本漏洞和配置合规扫描。
多扫描方式可选:支持通过标准包或者自定义安装等多种方式识别服务器中的中间件及其版本,全方位发现服务器中的漏洞风险。
4、内容合规检测
当网站被发现有不合规言论时,会给企业造成品牌和经济上的多重损失。
精准识别:同步更新时政热点和舆情事件的样本数据,准确定位各种涉黄、涉暴涉恐、涉政等敏感内容。
智能高效:对文本、图片内容进行上下文语义分析,智能识别复杂变种文本。