為什麼漏掃軟體無法發現非0day的全部漏洞?

使用WVS、APPScan掃描網站後還是存在很多漏洞,如dedecms爆出的SQLI,請問這些掃描器為什麼無法發現一些手工查到的漏洞?我能想到的幾個原因大概是1.匹配規則不夠強,2.字典不夠好。


首先要普及一個概念:

工具只是達到你的目標的手段之一,千萬不能有用了掃描工具就安全的自欺欺人的想法。

其次要講一下漏掃軟體和黑客軟體的一個核心區別:

漏掃軟體要給解決方案,尤其是商業服務,而自己寫軟體只需要能夠利用就行了,不用管你解決方案。所以對於漏掃軟體,沒有解決方案的不會爆,不過爆出來就不是0day了。。。

再者,網站安全有很多項需要檢查,包括:

1、代碼檢查

2、網路架構,網路掃描,包含最小服務檢查

3、伺服器配置檢查,包含最小許可權檢查

4、資料庫配置檢查,包含最小許可權檢查

5、應用服務檢查

SQL注入漏洞,就是對web發來的請求沒有做校驗直接當參數提交給資料庫執行了,這其實是第一步代碼檢查最需要檢查出來的,第四步也能有效防止,第五步查SQL注入其實已經基本屬於滲透測試的範疇了

最後,APPScan這個工具檢查SQL注入,是捆綁行為,它是能掃描出某些SQL漏洞的,但不代表它是專業做這個的——絕不代表它沒發現就沒注入漏洞

對這個漏洞它沒發現,可以說它不夠智能不夠猥瑣不夠喪心病狂,總之就是漏洞庫還不夠完善,它可能檢查了這個模板下各種get型注入漏洞,就是沒管post型的,在它看來那就是正常的發表文章,或者它掃描的注入點就不全,總之,你確實可以期望它更好,但是不能依賴它。

WVS我沒玩過,就不評價了


搞清楚 黑盒和白盒 測試 就不用提這個問題了


因為很多漏洞很隱蔽,有時候利用需要多個漏洞結合起來。


首先來個結論:

任何能用掃描器發現的漏洞都不是「最嚴重」的漏洞!而凡是」有人參與「的漏洞都是目前掃描器很難發現的!

先看看兩個概念漏洞掃描、漏洞掃描器

對於漏洞掃描,好搜上這麼定義的:

通常是指基於漏洞資料庫,通過掃描等手段,對指定的遠程或者本地計算機系統的安全脆弱性進行檢測,發現可利用的漏洞的 一種安全檢測(滲透攻擊)行為。

漏洞掃描器是這麼定義的:

是用於對企業網路進行漏洞掃描的一種硬體設備。

樓主所說的WVS、appscan等掃描器,其中有些只是軟體,不帶硬體設備,但也屬於漏洞掃描器。

所有的掃描器大致可以分為兩類:1、通用型掃描器;2、針對型掃描器。

通用型掃描器可以針對OWASP等標準,覆蓋絕大多數的WEB應用程序的漏洞風險。而針對型掃描器則是針對某種漏洞類型編寫的掃描程序,例如SQLMap。

那麼除了樓主提出的那兩個原因制約了掃描器無法找到所有漏洞外,還有兩個非常重要的點:

原因一、召回率(檢出率)與誤報率兩難全

所以每個廠商開發的掃描器總是有自己的側重點以及優劣。但是作為一個產品提供給用戶,尤其是傳統企業級用戶,他們很多情況下使用掃描器的希望是不要發現問題,而不是儘可能發現潛在問題。

那麼掃描器一定要保證結果的精確度,也就是儘可能降低誤報率。

因此就導致很多時候有些漏洞就無法第一時間通過掃描器發現。當然也有些產品提供了多種掃描模式,給用戶去選擇。

原因二、業務邏輯漏洞掃描器很難識別。

這就是我之前說的「有人參與」的漏洞,例如用戶密碼找回這類多步驟的業務過程,若是業務流程中任意一個環節出了疏忽,那麼就可以導致「任意密碼重置」這類的漏洞出現,也就是繞過了身份驗證等步驟,將任意用戶的密碼進行修改。

這一類的業務漏洞還包括:越權訪問、未授權訪問、交易規則繞過等等。

對於上面這一類業務上的漏洞,機器是很難去測試的。機器無法對多步驟、與人交互的過程進行判斷與識別。這一類漏洞也是各大公司之前並沒有太過於重視,因此現在這類漏洞還是大量存在的。

原因三、人是最嚴重的也是最難發現的漏洞!

隨著公司的發展,公司的業務線不斷地擴大,企業邊界也就越來越模糊,招聘進來的人也就參差不齊。

有些產品為了急於上線,根本不等QA測試,或者安全人員進行代碼審計與檢測。而這類產品與公司其他產品會存在業務交叉,甚至會放在一個機房。那麼當黑客通過這個產品滲透進入了公司內網,那麼公司其他的伺服器也基本上就一起淪陷了。

或者說因為企業員工對重要業務的後台使用了弱口令,那麼再強大的漏洞掃描器也是無能為力(當然,有些掃描器已經提供了弱口令掃描功能,但很難覆蓋全)。

綜合來說就是由於企業員工薄弱的安全意識導致的,而這是掃描器無法發現的!


好的


讓我來補刀吧

首先說APPscan, @秋翎 剛提到了,APPscan是商業軟體,價格不菲,既然是商業軟體,肯定是為「服務」提供服務,如果所有漏洞都被掃描出來,這個軟體它能提供所有的解決方案嗎?他要方便所謂的安全公司提供,技術人員提供數據參考,被它暴出來的大多是NDay,且有成熟的解決方案,可以打開appscan看下生成報告,以及參考建議的功能設置。

WVS去爬個目錄還行,指望它掃描是不可能的。

另外題主說掃描DeDe的站,親,你確定你沒搞錯?DeDe的站點都成千人騎萬人過的那種了 @餘弦 老師有說過,DeDe官方不重視漏洞反饋,造成很多漏洞在「圈子」里流傳著.dede是個標杆,,其他廠商好點,但,好不到哪去!


因為掃描器不夠ws,有些在掃描器覺得不是漏洞,但通過ws的方式可以利用。好吧,其實掃描器畢竟能力有限,挖漏洞這麼費腦子的事情不是那麼輕易就能用程序代替了的。


這些漏洞掃描軟體很多都是主動去匹配。究其根本還是不夠智能。

換一種說法,當你測評一款產品的時候,你用一個工具,提取所有傳參,入庫的地方,然後再手工去判斷是否存在漏洞。如果你的掃描軟體足夠只能,不就是可以這樣了麼?


推薦閱讀:

Cracker(駭客)和 Hacker(黑客)有什麼不同?
在公司用免費的 Wi-Fi 被人監控了如何處理?
網曝17年3月14日迅雷被拖庫詳情?
小米3 如何利用NFC功能修改IC卡?
一般密碼10個數字和26個字母組合如果我或有關重要部門造了50新字母,黑客鍵盤上沒有這些字母如何破解?

TAG:黑客Hacker | 信息安全 | 漏洞 |