OpenVAS报告
报告是你工作中最重要的一环。相关工作完成后,但是漏洞扫描程序提供的报告将有助于你了解从哪里开始人手。当我们开始查看漏洞扫描程序报告时,有两件事需要注意。首先,漏洞扫描程序使用特定签名来确定是否存在漏洞。这可能类似于抓取标题来比较版本号。你无法确定该漏洞是否存在,因为OpenVAS等工具不会进行漏洞利用。其次,与之相关的是你可能会得到某些误报。由于漏洞扫描程序未利用此漏洞,因此最好的情况是漏洞获取的概率。
如果你没有使用凭据执行扫描,那么将错过检测很多漏洞。你也许会有更高的误报率。误报率表示漏洞原本存在但却没有报告。这就是OpenVAS或任何其他扫描器报告率不佳的原因。由于无法保证漏洞确实存在,因此你需要能够验证此报告,以便最终报告显示需要修复的合理漏洞。
不过,这对于提供建议已经足够。让我们继续查看报告,这样我们就可以确定什么是合理的麻烦,什么是无关紧要的。我们需要做得第一-件事是在扫描 完成后返回OpenVAS Web界面,扫描具有大量服务的大型网络可能会非常耗 时,尤其是在进行深度扫描时。在"Scans" 菜单中,你将找到"Reponts项。从那里,你可以访问报告仪表板。它将为你提供所有已完成扫描的列表,以及扫描结果严重程度的相关图表。你可以从图4-12中看到报告仪表板。
当你选择希望查看某个扫描的报告后,它将显示已找到的所有漏洞。当使用报告这个词时,听起来我们好像是在讨论一个实际的文档,这当然是可以获得的,但是我们真正想要的只是结果清单和细节。我们可以从Web界面轻松地获取所有这些内容。大多数情况下,可以根据需要在列表之间来回切换获得更多详细信息。当然根据你的需求,实际情况会略有不同。图4-13展示了扫描网络时出现的漏洞列表。我喜欢将一些易受攻击的系统用于趣味性的演示案例。确保让所有漏洞数据库处于最新的状态不会让我们看到更多的东西。
你将看到7列内容。其中一些是非常简单的。漏洞和严重性的数据列应该更容易理解。漏洞是所发现问题的简短描述。不过严重程度值得讨论。此评估基于漏洞被利用后可能带来的影响。漏洞扫描程序提提供的严重性问题评估是它不需要考虑任何其他因素。它所知的是与该漏洞相关的严重程度,无论北他任何可能限制漏洞风险的缓解措施如何。这是更宽泛的环境理念起作用的地方。比如,假定Web服务器存在问题,例如PHP漏洞,这是一个用于Web开发的编程语言。但是,该网站可以配置双重身份验证,并且只能为此扫描授予特殊访问权限。这意味着只有经过身份验证的用户才能访问该站点以利用此漏洞。
仅仅因为弱化可能会降低其对组织的整体影响的问题,并不意味着这些问题 应该被忽略。所有这一切都意味 着攻击者的层级更高,而不是漏洞利用不可能发生。经验和对环境的良好理解将有助于你掌握所发现信息中的关键。我们的目标不应该是让恐慌情绪蔓延,而应该是让他们从遭受攻击的角度合理地估计自己的处境。与组织协作将极大地改善他们的整体安全状况。
下一篇将要讨论的是QoD (Quality of Detection)或者质量检测专题。如前所述,漏洞扫描程序无法完全确定漏洞的存在。QoD评级表示漏洞存在的确定性程度。分数越高,扫描器的确定性越大。如果你的QoD很高并且严重程度也较高,这可能是相关人员应该仔细调查的漏洞。比如,其中一项研究成果如图4-14所示。它的QoD为99%,严重程度为10,与扫描器的级别-一样高。OpenVAS认为这是一个已经确认的严重问题。这是由收到的被测系统输出结果显示的。
间是如何被检测到的。在这种情况下,OPevVAS发现
每个发现都会告诉你漏洞的网页并向其发送了一个请求,试图进行系统调用。之了一个基于Roby语言的议允许这些通过应用程序发起的系统调用。由于
VAS建
产生的错误信息向Oper,此重要的函数,比如读取和写人文件,获得对硬件的访系统调用主要用于
问权限以及其其他重要函数,t议些调用可能会为攻击者提供访向权限或对系统上的文件造成损害。正是由于这种潜在的访问级别,所以严重程度才会被评估的很高。
当你得到这样的结果时,最好尽可能地手动修复它。你可以在此处尽量提高日志记录的级别。 这可以通过转到扫描器首选项,然后启用“Lg Whole有日志功能来实现。你还可以从目标应用程序中检查应用程序日志,以便确A地了解所执行的操作。比如,手动测试如图4.14所示的漏洞会导致错误信 息提示该函数井未实现. OpeoVAS的尝试并不是完全成功的,因此需要进行额外的测试和研究。
如果你在执行其他测试时需要帮助,那么调查结果将包含一组资源列表。这些网页将提供和漏洞有关的更多详细信息,这有助于你了解攻击,以便你可以重现它们。通常,这些资源指向漏洞的公告。它们还可能包含厂商提供的修复或解决方案的详细信息。
另一个需要关注的是第二列,它只包含图标。这是指示解决方案类型的列。解决方案可能包括变通方法,供应商修复程序或缓解措施。每个发现都将提供可能的变通方法或修复方法的相关详细信息。检测到的漏洞之一是SMTP服务器特性,它可能导致攻击者获取有关电子邮件地址信息。图4-15展示了其中的一个发现及其解决方案。此特定方法是禁用邮件服务器的两个功能。
此解决方案提供有关如何配置两个邮件服务器的详细信息。这个特殊的系统使用Postfix,这是提供的细节之-。但是,其他邮件服务器也可能会暴露此漏洞。如果你需要配置这些服务器的相关帮助,那么必须进行其他研究。
最后要介绍的是Host和Location列。主机会告诉用户哪个系统存在漏洞。这很重要,因为这样一-来你的组织能够知道需要执行配置工作的系统。该位置是告知用户目标服务在哪个端口上运行。这可以让你知道在哪里定位其他测试。向组织提供详细信息时,指出受影响的系统将非常重要。我还会在为客户编写的报告中包含切实可行的任何补救措施或解决方案。
网络设备漏洞
OpenVAS能够测试网络设备。如果你的网络设备可通过你正在扫描的网络访 问,那么OpenVAS也可以访问它们,OpenVAS 可以检测设备类型并进行相应的测试。但是,Kali还包含专门处理网络设备和相关厂商的程序。思科是-家很常见的网络设备供应商。不出所料的是,各种程序都会在思科设备上进行测试。可用的目标越多,某些人就越可能开发出针对这些目标的工具和漏洞。思科在路由器和交换机市场上占有很大份额,因此这些设备也就成了很好的攻击目标。网络设备通常通过网络进行管理。这可以通过使用HTTP协议的Web界面完成,也可以使用SSH之类的协议在控制台上完成,或者虽然不太理想,但是仍有可能使用Telenet完成。一且你在网络上使用任何设备,它们就有可能被利用。使用Kali中提供的工具,你可以开始识别关键网络基础架构中的潜在漏洞。
