虽然您在安装并管理网络和网站时可能了解并遵循基本的安全措施,但永远无法独自跟踪并捕获所有漏洞。
漏洞扫描器可以帮助您自动执行安全审查,在IT安全中发挥重要作用。它们可以扫描网络和网站,查找成千上万的不同安全风险,生成优先级列表,列出要修补的漏洞,描述漏洞,并给出如何补救漏洞的步骤。一些甚至可以使修补过程自动化。
虽然漏洞扫描器和安全审查工具可能价格不菲,但也有免费工具。一些工具仅查看特定的漏洞或限制可以扫描的主机数量,但也有一些提供全面的IT安全扫描。
Nessus Essentials(前身是Nessus Home)让您一次扫描多达16个IP地址。它提供专业版的7天免费试用,可以执行无限制的IP扫描,还增加了合规检查或内容审查、实时结果以及使用Nessus虚拟设备的功能。
Nessus Essentials可安装在Windows、macOS和众多Linux/Unix发行版上。在Web GUI上,您可以轻松查看包含的扫描类型:主机发现以及漏洞扫描。您还将看到专业版中可用的扫描类型(列出但无法访问):针对移动设备的漏洞扫描和合规扫描。
使用免费版,可以安排一次自动扫描,但专业版没有这种限制。您还可以配置电子邮件通知、发现设置、评估及报告首选项以及一些高级设置。还可以查看插件以及所寻找的漏洞。扫描运行后,您可以访问概述每个主机上所发现内容的小结,并深入了解有关漏洞和可能的补救措施的详细信息。
您还可以利用策略来创建自定义模板,定义扫描期间执行哪些操作。另外,您可以利用插件规则来隐藏或更改所需插件的严重性。
总体而言,Nessus Essentials可靠、易于使用,但由于它一次只能扫描最多16个IP地址,因此其在大型组织的实用性值得怀疑。
Rapid7的Nexpose社区版可以扫描网络、操作系统、Web应用程序、数据库和虚拟环境。可使用一年,到期后得申请新许可证。该公司还提供商业版的30天免费试用。
Nexpose可安装在Windows、Linux或虚拟机上,提供基于Web的GUI。您可以通过其门户网站创建站点,以定义要扫描的IP或URL、选择扫描首选项、扫描时间表,并为扫描的资产提供任何必要的信息。
扫描网站后,您会看到列出来的资产和漏洞。它显示了资产详细信息,包括操作系统和软件信息,以及有关漏洞及如何修复漏洞的详细信息。您可以选择设置策略,以定义和跟踪所需的合规标准。还可以生成和导出各方面的报告。
Nexpose社区版是一款功能强大、易于设置的漏洞扫描器。
开放式漏洞评估系统(OpenVAS)是基于Linux的网络安全扫描平台,大多数组件采用GNU通用公共许可证(GNU GPL)。完全免费的版本名为Greenbone Source Edition(GSE),商业版本名为Greenbone Security Manager(GSM),可免费试用14天。
OpenVAS的主要组件是安全扫描器,它只能在Linux上运行,但也可以在Windows内的虚拟机上运行。它执行实际扫描工作,接收网络漏洞测试的每天更新。扫描器的功能略有不同,但为每个版本提供的信息源(feed)之间的区别更大。
OpenVAS Manager控制扫描器,并提供情报。OpenVAS Administrator提供了命令行接口(CLI),可充当全方位的服务守护程序,提供用户管理和信息源管理。
有几款客户软件可充当GUI或CLI。Greenbone Security Assistant(GSA)提供了基于Web的GUI。Greenbone Security Desktop(GSD)是基于Qt的桌面客户端,可在各种操作系统(包括Linux和Windows)上运行。OpenVAS CLI也提供了命令行接口。
OpenVAS不是安装和使用起来最简单最方便的扫描器,却是功能最丰富最广泛的免费IT安全扫描器之一。它可扫描数千个漏洞,支持并发扫描任务和计划扫描。它还提供扫描结果的注释和误报管理。然而它确实需要Linux,至少主要组件需要。
Qualys社区让您可以使用Qualys Cloud Agent监控最多16个资产,使用Vulnerability Management可以扫描最多16个内部IP和3个外部IP,使用Web Application Scanning可扫描单个URL。最初可通过其Web门户网站访问它,如果在内部网络上运行扫描,随后可以下载其虚拟机软件。Qualys还提供商业版的30天免费试用。
Qualys支持多种扫描类型:TCP / UDP端口、密码蛮力破解和漏洞检测,以查找隐藏的恶意软件、缺少的补丁程序、SSL问题以及其他与网络有关的漏洞。您还可以提供身份验证详细信息,以便它可以登录到主机以扩展检测功能。
Web GUI提供了如何执行扫描的逐步列表。这包括输入要扫描的IP地址、下载虚拟扫描器或扫描本地网络时设置物理扫描器,然后配置扫描设置。扫描完成后,您可以查看许多不同类型的报告,比如总体记分卡、补丁、高危程度、支付卡行业(PCI)和摘要报告。
由于Qualys最多只能扫描16个资产和IP,因此大组织不会觉得它很有用。这些用户应考虑平常使用另一种解决方案,偶尔使用Qualys以扫描较小的网络或网段。
ManageEngine漏洞管理器提供功能齐全的免费版,可以最多扫描25台Windows或macOS计算机。与本文介绍的大多数其他扫器器不同,这款主要为计算机扫描和监控而设计,不过为Web服务器提供了一些扫描功能。收费版可以免费试用30天,另一款产品(Desktop Central)提供更一般化的计算机监控功能,可以与该漏洞扫描器集成。
ManageEngine漏洞管理器的服务器部分只能安装在Windows计算机上,但是可以在其他地方访问Web GUI。与其他扫描器不同,这款扫描器要求您将端点代理软件添加到要扫描的系统,适用于Windows、macOS和Linux系统。
设置端点代理后,可以开始查看检测到的项目(按软件和零日漏洞分类)、系统和服务器配置错误、高风险软件以及端口审查结果。每一项给出了充分的解释以及可能的解决方法。您还可以管理和推送补丁,以及查看基本的计算机规格和统计信息,比如已安装的操作系统、IP地址和上次重启时间。
事实证明,ManageEngine漏洞管理器是一款很好的长期漏洞监控解决方案,至少对于计算机系统而言如此。由于要安装软件代理,如果您要执行一次性扫描,它可能不太适合。
【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】
目录一、什么是CSRF攻击二、CSRF攻击的流程三、常见的CSRF攻击1、GET类型的CSRF2、POST类型的CSRF四、CSRF测试五、预防CSRF攻击5.1、验证HTTPReferer字段5.2、添加token验证5.3、在HTTP头中自定义属性并验证总...
攻击服务器安全csrf防范
一、起因今天,同事说我负责的模块在阿里云上不工作了,我赶忙远程登录查看。1. 服务器的症状敲命令的时候,终端的字符回传很快,但是命令的响应时间较长;服务器内存32GB,剩余200MB;CPU跑到了99%;我负责的模块之前一直工作正常,稳定性好,没修改过配置,但...
阿里云木马服务器安全挖矿
近日,火眼发布了一个包含超过140个开源Windows渗透工具包,红队渗透测试员和蓝队防御人员均拥有了顶级侦察与漏洞利用程序集。该工具集名为“CommandoVM”。安全工作者在对系统环境进行渗透测试时常常会自己配置虚拟机,如果是Linux的话还好,还有Kal...
服务器安全渗透测试工具渗透测试套件
随着网络攻击的简单化,如今DDoS攻击已经不止出现在大型网站中,就连很多中小型网站甚至是个人网站往往都可能面临着被DDoS攻击的的风险。或许很多站长对DDoS攻击并不是很了解,及时网站被攻击时往往不能及时发现,导致网站出现经常性大不开的情况,为了让站长们避免网...
服务器安全DDos网站