為什麼漏掃軟體無法發現非0day的全部漏洞？

01-03

使用WVS、APPScan掃描網站後還是存在很多漏洞，如dedecms爆出的SQLI，請問這些掃描器為什麼無法發現一些手工查到的漏洞？我能想到的幾個原因大概是1.匹配規則不夠強，2.字典不夠好。

首先要普及一個概念：

工具只是達到你的目標的手段之一，千萬不能有用了掃描工具就安全的自欺欺人的想法。

其次要講一下漏掃軟體和黑客軟體的一個核心區別：

漏掃軟體要給解決方案，尤其是商業服務，而自己寫軟體只需要能夠利用就行了，不用管你解決方案。所以對於漏掃軟體，沒有解決方案的不會爆，不過爆出來就不是0day了。。。

再者，網站安全有很多項需要檢查，包括：

1、代碼檢查

2、網路架構，網路掃描，包含最小服務檢查

3、伺服器配置檢查，包含最小許可權檢查

4、資料庫配置檢查，包含最小許可權檢查

5、應用服務檢查

SQL注入漏洞，就是對web發來的請求沒有做校驗直接當參數提交給資料庫執行了，這其實是第一步代碼檢查最需要檢查出來的，第四步也能有效防止，第五步查SQL注入其實已經基本屬於滲透測試的範疇了

最後，APPScan這個工具檢查SQL注入，是捆綁行為，它是能掃描出某些SQL漏洞的，但不代表它是專業做這個的——絕不代表它沒發現就沒注入漏洞

對這個漏洞它沒發現，可以說它不夠智能不夠猥瑣不夠喪心病狂，總之就是漏洞庫還不夠完善，它可能檢查了這個模板下各種get型注入漏洞，就是沒管post型的，在它看來那就是正常的發表文章，或者它掃描的注入點就不全，總之，你確實可以期望它更好，但是不能依賴它。

WVS我沒玩過，就不評價了

搞清楚黑盒和白盒測試就不用提這個問題了

因為很多漏洞很隱蔽，有時候利用需要多個漏洞結合起來。

首先來個結論：

任何能用掃描器發現的漏洞都不是「最嚴重」的漏洞！而凡是」有人參與「的漏洞都是目前掃描器很難發現的！

先看看兩個概念漏洞掃描、漏洞掃描器

對於漏洞掃描，好搜上這麼定義的：

通常是指基於漏洞資料庫，通過掃描等手段，對指定的遠程或者本地計算機系統的安全脆弱性進行檢測，發現可利用的漏洞的一種安全檢測（滲透攻擊）行為。

而漏洞掃描器是這麼定義的：

是用於對企業網路進行漏洞掃描的一種硬體設備。

樓主所說的WVS、appscan等掃描器，其中有些只是軟體，不帶硬體設備，但也屬於漏洞掃描器。

所有的掃描器大致可以分為兩類：1、通用型掃描器；2、針對型掃描器。

通用型掃描器可以針對OWASP等標準，覆蓋絕大多數的WEB應用程序的漏洞風險。而針對型掃描器則是針對某種漏洞類型編寫的掃描程序，例如SQLMap。

那麼除了樓主提出的那兩個原因制約了掃描器無法找到所有漏洞外，還有兩個非常重要的點：

原因一、召回率（檢出率）與誤報率兩難全。

所以每個廠商開發的掃描器總是有自己的側重點以及優劣。但是作為一個產品提供給用戶，尤其是傳統企業級用戶，他們很多情況下使用掃描器的希望是不要發現問題，而不是儘可能發現潛在問題。

那麼掃描器一定要保證結果的精確度，也就是儘可能降低誤報率。

因此就導致很多時候有些漏洞就無法第一時間通過掃描器發現。當然也有些產品提供了多種掃描模式，給用戶去選擇。

原因二、業務邏輯漏洞掃描器很難識別。

這就是我之前說的「有人參與」的漏洞，例如用戶密碼找回這類多步驟的業務過程，若是業務流程中任意一個環節出了疏忽，那麼就可以導致「任意密碼重置」這類的漏洞出現，也就是繞過了身份驗證等步驟，將任意用戶的密碼進行修改。

這一類的業務漏洞還包括：越權訪問、未授權訪問、交易規則繞過等等。

對於上面這一類業務上的漏洞，機器是很難去測試的。機器無法對多步驟、與人交互的過程進行判斷與識別。這一類漏洞也是各大公司之前並沒有太過於重視，因此現在這類漏洞還是大量存在的。

原因三、人是最嚴重的也是最難發現的漏洞！

隨著公司的發展，公司的業務線不斷地擴大，企業邊界也就越來越模糊，招聘進來的人也就參差不齊。

有些產品為了急於上線，根本不等QA測試，或者安全人員進行代碼審計與檢測。而這類產品與公司其他產品會存在業務交叉，甚至會放在一個機房。那麼當黑客通過這個產品滲透進入了公司內網，那麼公司其他的伺服器也基本上就一起淪陷了。

或者說因為企業員工對重要業務的後台使用了弱口令，那麼再強大的漏洞掃描器也是無能為力（當然，有些掃描器已經提供了弱口令掃描功能，但很難覆蓋全）。

綜合來說就是由於企業員工薄弱的安全意識導致的，而這是掃描器無法發現的！

好的

讓我來補刀吧

首先說APPscan， @秋翎剛提到了，APPscan是商業軟體，價格不菲，既然是商業軟體，肯定是為「服務」提供服務，如果所有漏洞都被掃描出來，這個軟體它能提供所有的解決方案嗎？他要方便所謂的安全公司提供，技術人員提供數據參考，被它暴出來的大多是NDay，且有成熟的解決方案，可以打開appscan看下生成報告，以及參考建議的功能設置。

WVS去爬個目錄還行，指望它掃描是不可能的。

另外題主說掃描DeDe的站，親，你確定你沒搞錯？DeDe的站點都成千人騎萬人過的那種了 @餘弦老師有說過，DeDe官方不重視漏洞反饋，造成很多漏洞在「圈子」里流傳著.dede是個標杆，，其他廠商好點，但，好不到哪去！

因為掃描器不夠ws，有些在掃描器覺得不是漏洞，但通過ws的方式可以利用。好吧，其實掃描器畢竟能力有限，挖漏洞這麼費腦子的事情不是那麼輕易就能用程序代替了的。

這些漏洞掃描軟體很多都是主動去匹配。究其根本還是不夠智能。

換一種說法，當你測評一款產品的時候，你用一個工具，提取所有傳參，入庫的地方，然後再手工去判斷是否存在漏洞。如果你的掃描軟體足夠只能，不就是可以這樣了麼？