未修補的漏洞是網路犯罪分子最容易攻擊的目標之一。企業中很多的資料安全事件往往由於已知的漏洞造成的,儘管相關的安全補丁已經發布,但許多企業由於種種原因並不能及時發現並修補這些漏洞。
當組織想要開展全面且持續的漏洞掃描工作時,通常需要得到廣泛的安全社區支持。在此過程中,安全人員可以藉助一些的流行開源漏洞掃描工具。由於它們具有開放源程式碼的特性,使用者可以自由地查看、修改和定製這些工具,以滿足自身的安全需求。此外,這些工具會經常更新和改進以適應不斷變化的漏洞威脅。本文收集了6款目前較熱門的開源漏洞掃描工具(詳見下表),並從功能性、兼容性和可擴展性等方面對其應用特點進行了分析。
1、Nmap
Nmap是一款非常流行的自動化安全測試工具。它可以在各種主流作業系統上運行,並快速掃描大型網路。它通常會檢測以下資訊:網路上有哪些主機可用,主機在運行什麼服務,主機在運行哪些作業系統版本,使用哪種類型的資料包過濾器和防火牆,以及發動攻擊之前需要的其他有用情報。此外,Nmap的說明文件也很全面,還有針對命令列和GUI(圖形化操作界面)版本的眾多教程,很容易上手。
主要特點
ㆍ快速查詢開放埠,基於可用的 TCP 和 UDP 服務分析協議、應用程序和作業系統。
ㆍ擁有龐大的活躍使用者群,也被大多數網路和網路安全認證計劃所接受。
ㆍ對使用者友好,使用命令列控制元件自動執行漏洞掃描或將結果匯出到票證系統或安全工具中。
ㆍ包含一個不斷增長的檢測腳本庫,可用於增強網路發現和漏洞評估的功能。
ㆍ可基於協議請求的埠響應進行掃描,適用於所有具有開放埠的計算機、物聯網設備、網站、雲系統和網路設備。
不足
ㆍ沒有正式的客戶支持選項
ㆍ使用時需要一定的經驗或程式設計能力
ㆍ並非所有選項在 GUI 版本中都可用
2、OpenVAS
OpenVAS是一個較全面的開源滲透測試軟體。在世界各地的滲透測試專家的幫助下,它得到了不斷的支持和更新,從而使其保持最新狀態。OpenVAS的其他特性還包括提供未經身份驗證的測試、目標掃描和web漏洞掃描。需要說明的是,OpenVAS工具的漏洞掃描能力最初是從Nessus產品派生而來,後者現在是Tenable公司的非開源商業化產品。
主要特點
ㆍ幾乎每天都會更新威脅資訊源,並定期提供產品更新和功能更新。
ㆍ免費版本的功能就非常全面,並在企業版本中提供更多功能和特性,同時提供客戶支持。
ㆍ能夠對終端、伺服器和雲等多種系統進行常見漏洞和曝光(CVE)的掃描。
ㆍ產品得到主流網路安全社區的支持,能夠在許多不同的認證課程中教授。
ㆍ可以為每個漏洞提供額外的上下文資訊,用於漏洞修復或攻擊路徑解釋。
不足
ㆍ對於初學者來說專業門檻較高
ㆍ在同時進行多個掃描任務時,可能會導致程序崩潰
ㆍ一些高級掃描功能需要使用付費版本
3、ZAP
Zed Attack Proxy (ZAP)是一款使用者友好的滲透測試工具,能找出網路應用中的漏洞。它不僅提供自動化掃描器,也為想要手動查找漏洞的使用者提供了一套工具。ZAP通常預裝在Kali Linux上,它能夠將自身置於測試人員的瀏覽器和Web應用程序之間,攔截請求以充當”代理”。通過修改內容、轉發資料包和模擬其他使用者行為,ZAP也可以對應用程序進行漏洞掃描測試。
主要特點
ㆍ可執行常見的動態應用程序安全測試 (DAST),特別是針對跨站點腳本 (XSS) 漏洞,還能夠執行一些新型的測試工作,例如模糊測試;
ㆍ可提供 API 和 docker 集成以實現快速部署,並與 DevSecOp 工具集成,實現對開發團隊的自動化工單管理;
ㆍ通過Crash Override開源獎學金的支持,ZAP擁有多名全職開發人員,不再與OWASP有關聯;
ㆍ經常被滲透測試人員使用,可以很好地了解駭客可能發現的漏洞。
不足
ㆍ某些掃描功能需要額外的外掛
ㆍ需要一些專業知識才能使用
ㆍ相比其他工具,誤報率較高
4、OSV-Scanner
OSV-Scanner是一款由Google公司開發的開源漏洞掃描工具,提供專門的軟體組成分析(SCA),可用於掃描靜態軟體,以確保開源軟體的程式設計程式碼安全漏洞,並保護開源軟體清單(SBOM)。在掃描項目時,OSV-Scanner 首先通過分析清單、軟體材料清單(SBOM)和程式碼提交哈希值來確定正在使用的所有依賴項。這些資訊用於查詢 OSV 資料庫,並報告與項目相關的漏洞。漏洞通過表格的形式或基於 JSON 的 OSV 格式(可選)進行報告。
主要特點
ㆍ能夠定期擴展支持的程式語言列表,包括C/C++、Dart、Elixir、Go、Java、JavaScript、PHP、Python、R、Ruby和Rust。
ㆍ可以從大量資訊源中獲取漏洞,包括Debian、Linux、Maven、npm、NuGet、OSS-Fuzz、Packagist、PyPl和RubyGems。
ㆍ允許API、可腳本化和與GitHub集成的調用,以實現漏洞掃描自動化。
ㆍ使用JSON儲存有關受影響版本的資訊,以便與開發人員工具包進行集成。
ㆍ檢查目錄、軟體清單(SBOM)、鎖定檔案、基於Debian的Docker映象或在Docker容器中運行的軟體。
不足
ㆍ只檢查開源庫中有的漏洞
ㆍ產品較新,尚未被納入到主流的認證教育中
5、CloudSploit
CloudSploit是一款開源的雲基礎設施掃描引擎,目前被Aqua公司收購併繼續對其進行維護,以使使用者能夠下載、修改並享受這個專業工具的好處。CloudSploit可以根據使用者需求進行掃描,也可以配置為持續運行,並向安全和DevOps團隊發送漏洞警報。該工具不僅檢查已知的雲和容器部署漏洞,還能夠檢查常見的配置錯誤問題。
主要特點
ㆍ可持續掃描AWS、Azure、Google Cloud、Oracle Cloud等環境,以便對雲基礎設施的更改進行警報。
ㆍ通過安全人員常用的工具(如Slack、Splunk、OpsGenie、Amazon SNS等)發送實時警報和結果。
ㆍ可從命令列、腳本或構建系統(Jenkins、CircleCL、AWS CodeBuild 等)調用 API。
ㆍ提供了廣泛的雲支持,包括針對主要公共雲平臺(阿里雲、AWS、Azure、Google Cloud 等)的外掛嚴重程度。
不足
ㆍ某些功能需要付費使用
ㆍ必須與其他安全工具一起使用
ㆍ專注於公有云基礎設施安全性
6、sqlmap
sqlmap是一款專注但功能強大的免費資料庫漏洞掃描工具。儘管其適用範圍有限,但在一些需要進行嚴格合規和安全測試的數字化業務場景中,資料庫漏洞測試往往是至關重要的組成部分。SQLmap能夠自動化查找與SQL隱碼攻擊相關的威脅和攻擊的過程。相比其他的web應用程序滲透測試工具,SQLmap具有較強大的測試引擎和多種注入攻擊識別能力,並支持多種資料庫伺服器,如MySQL、Microsoft Access、IBM DB2和SQLite。
主要特點
ㆍ可通過DBMS憑據、IP地址、埠和資料庫名稱直接連接到資料庫進行漏洞掃描測試。
ㆍ支持可調用的(程式碼或GitHub)集成,可執行任意命令,檢索標準輸出並生成報告。
ㆍ可掃描多種類型的SQL隱碼攻擊,包括:基於布爾的盲注、基於時間的盲注、基於錯誤的注入、基於UNION查詢的注入、堆疊查詢和帶外注入等。
ㆍ自動識別和使用密碼哈希進行具有許可訪問許可權的測試,還可以進行密碼破解。
ㆍ支持超過30個資料庫管理系統。
不足
ㆍ沒有圖形使用者界面,需要通過命令列
ㆍ只針對資料庫中的漏洞
ㆍ需要一定的資料庫專業知識才能有效使用
資料來源:https://vitomag.com/code/d0vr1
資料來源:https://aict.nkust.edu.tw/digitrans/?p=5858
