鴻蒙OS 4.0公測機(jī)型公布:甚至連nova6都支持
華為全新的HarmonyOS 4.0操作系統(tǒng)將于今天下午正式登場,官方在發(fā)布會之前也已經(jīng)正式給出了可升級的機(jī)型產(chǎn)品,這意味著這些機(jī)型會率先支持升級享用。這次的HarmonyOS 4.0支持
未修補(bǔ)的漏洞是網(wǎng)絡(luò)犯罪分子最容易攻擊的目標(biāo)之一。企業(yè)中很多的數(shù)據(jù)安全事件往往由于已知的漏洞造成的,盡管相關(guān)的安全補(bǔ)丁已經(jīng)發(fā)布,但許多企業(yè)由于種種原因并不能及時發(fā)現(xiàn)并修補(bǔ)這些漏洞。
當(dāng)組織想要開展全面且持續(xù)的漏洞掃描工作時,通常需要得到廣泛的安全社區(qū)支持。在此過程中,安全人員可以借助一些的流行開源漏洞掃描工具。由于它們具有開放源代碼的特性,用戶可以自由地查看、修改和定制這些工具,以滿足自身的安全需求。此外,這些工具會經(jīng)常更新和改進(jìn)以適應(yīng)不斷變化的漏洞威脅。本文收集了6款目前較熱門的開源漏洞掃描工具(詳見下表),并從功能性、兼容性和可擴(kuò)展性等方面對其應(yīng)用特點進(jìn)行了分析。
圖片
圖片
Nmap是一款非常流行的自動化安全測試工具。它可以在各種主流操作系統(tǒng)上運行,并快速掃描大型網(wǎng)絡(luò)。它通常會檢測以下信息:網(wǎng)絡(luò)上有哪些主機(jī)可用,主機(jī)在運行什么服務(wù),主機(jī)在運行哪些操作系統(tǒng)版本,使用哪種類型的數(shù)據(jù)包過濾器和防火墻,以及發(fā)動攻擊之前需要的其他有用情報。此外,Nmap的說明文檔也很全面,還有針對命令行和GUI(圖形化操作界面)版本的眾多教程,很容易上手。
?快速查詢開放端口,基于可用的 TCP 和 UDP 服務(wù)分析協(xié)議、應(yīng)用程序和操作系統(tǒng)。
?擁有龐大的活躍用戶群,也被大多數(shù)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全認(rèn)證計劃所接受。
?對使用者友好,使用命令行控件自動執(zhí)行漏洞掃描或?qū)⒔Y(jié)果導(dǎo)出到票證系統(tǒng)或安全工具中。
?包含一個不斷增長的檢測腳本庫,可用于增強(qiáng)網(wǎng)絡(luò)發(fā)現(xiàn)和漏洞評估的功能。
?可基于協(xié)議請求的端口響應(yīng)進(jìn)行掃描,適用于所有具有開放端口的計算機(jī)、物聯(lián)網(wǎng)設(shè)備、網(wǎng)站、云系統(tǒng)和網(wǎng)絡(luò)設(shè)備。
?沒有正式的客戶支持選項
?使用時需要一定的經(jīng)驗或編程能力
?并非所有選項在 GUI 版本中都可用
圖片
OpenVAS是一個較全面的開源滲透測試軟件。在世界各地的滲透測試專家的幫助下,它得到了不斷的支持和更新,從而使其保持最新狀態(tài)。OpenVAS的其他特性還包括提供未經(jīng)身份驗證的測試、目標(biāo)掃描和web漏洞掃描。需要說明的是,OpenVAS工具的漏洞掃描能力最初是從Nessus產(chǎn)品派生而來,后者現(xiàn)在是Tenable公司的非開源商業(yè)化產(chǎn)品。
?幾乎每天都會更新威脅信息源,并定期提供產(chǎn)品更新和功能更新。?免費版本的功能就非常全面,并在企業(yè)版本中提供更多功能和特性,同時提供客戶支持。?能夠?qū)K端、服務(wù)器和云等多種系統(tǒng)進(jìn)行常見漏洞和曝光(CVE)的掃描。?產(chǎn)品得到主流網(wǎng)絡(luò)安全社區(qū)的支持,能夠在許多不同的認(rèn)證課程中教授。?可以為每個漏洞提供額外的上下文信息,用于漏洞修復(fù)或攻擊路徑解釋。
?對于初學(xué)者來說專業(yè)門檻較高?在同時進(jìn)行多個掃描任務(wù)時,可能會導(dǎo)致程序崩潰?一些高級掃描功能需要使用付費版本
圖片
Zed Attack Proxy (ZAP)是一款用戶友好的滲透測試工具,能找出網(wǎng)絡(luò)應(yīng)用中的漏洞。它不僅提供自動化掃描器,也為想要手動查找漏洞的用戶提供了一套工具。ZAP通常預(yù)裝在Kali Linux上,它能夠?qū)⒆陨碇糜跍y試人員的瀏覽器和Web應(yīng)用程序之間,攔截請求以充當(dāng)"代理"。通過修改內(nèi)容、轉(zhuǎn)發(fā)數(shù)據(jù)包和模擬其他用戶行為,ZAP也可以對應(yīng)用程序進(jìn)行漏洞掃描測試。
?可執(zhí)行常見的動態(tài)應(yīng)用程序安全測試 (DAST),特別是針對跨站點腳本 (XSS) 漏洞,還能夠執(zhí)行一些新型的測試工作,例如模糊測試;
?可提供 API 和 docker 集成以實現(xiàn)快速部署,并與 DevSecOp 工具集成,實現(xiàn)對開發(fā)團(tuán)隊的自動化工單管理;?通過Crash Override開源獎學(xué)金的支持,ZAP擁有多名全職開發(fā)人員,不再與OWASP有關(guān)聯(lián);?經(jīng)常被滲透測試人員使用,可以很好地了解黑客可能發(fā)現(xiàn)的漏洞。
?某些掃描功能需要額外的插件
?需要一些專業(yè)知識才能使用
?相比其他工具,誤報率較高
圖片
OSV-Scanner是一款由谷歌公司開發(fā)的開源漏洞掃描工具,提供專門的軟件組成分析(SCA),可用于掃描靜態(tài)軟件,以確保開源軟件的編程代碼安全漏洞,并保護(hù)開源軟件清單(SBOM)。在掃描項目時,OSV-Scanner 首先通過分析清單、軟件材料清單(SBOM)和代碼提交哈希值來確定正在使用的所有依賴項。這些信息用于查詢 OSV 數(shù)據(jù)庫,并報告與項目相關(guān)的漏洞。漏洞通過表格的形式或基于 JSON 的 OSV 格式(可選)進(jìn)行報告。
?能夠定期擴(kuò)展支持的編程語言列表,包括C/C++、Dart、Elixir、Go、Java、JavaScript、PHP、Python、R、Ruby和Rust。?可以從大量信息源中獲取漏洞,包括Debian、Linux、Maven、npm、NuGet、OSS-Fuzz、Packagist、PyPl和RubyGems。?允許API、可腳本化和與GitHub集成的調(diào)用,以實現(xiàn)漏洞掃描自動化。?使用JSON存儲有關(guān)受影響版本的信息,以便與開發(fā)人員工具包進(jìn)行集成。?檢查目錄、軟件清單(SBOM)、鎖定文件、基于Debian的Docker鏡像或在Docker容器中運行的軟件。
?只檢查開源庫中有的漏洞?產(chǎn)品較新,尚未被納入到主流的認(rèn)證教育中
圖片
CloudSploit是一款開源的云基礎(chǔ)設(shè)施掃描引擎,目前被Aqua公司收購并繼續(xù)對其進(jìn)行維護(hù),以使用戶能夠下載、修改并享受這個專業(yè)工具的好處。CloudSploit可以根據(jù)用戶需求進(jìn)行掃描,也可以配置為持續(xù)運行,并向安全和DevOps團(tuán)隊發(fā)送漏洞警報。該工具不僅檢查已知的云和容器部署漏洞,還能夠檢查常見的配置錯誤問題。
?可持續(xù)掃描AWS、Azure、Google Cloud、Oracle Cloud等環(huán)境,以便對云基礎(chǔ)設(shè)施的更改進(jìn)行警報。
?通過安全人員常用的工具(如Slack、Splunk、OpsGenie、Amazon SNS等)發(fā)送實時警報和結(jié)果。
?可從命令行、腳本或構(gòu)建系統(tǒng)(Jenkins、CircleCL、AWS CodeBuild 等)調(diào)用 API。
?提供了廣泛的云支持,包括針對主要公共云平臺(阿里云、AWS、Azure、Google Cloud 等)的插件嚴(yán)重程度。
?某些功能需要付費使用?必須與其他安全工具一起使用?專注于公有云基礎(chǔ)設(shè)施安全性
圖片
sqlmap是一款專注但功能強(qiáng)大的免費數(shù)據(jù)庫漏洞掃描工具。盡管其適用范圍有限,但在一些需要進(jìn)行嚴(yán)格合規(guī)和安全測試的數(shù)字化業(yè)務(wù)場景中,數(shù)據(jù)庫漏洞測試往往是至關(guān)重要的組成部分。SQLmap能夠自動化查找與SQL注入相關(guān)的威脅和攻擊的過程。相比其他的web應(yīng)用程序滲透測試工具,SQLmap具有較強(qiáng)大的測試引擎和多種注入攻擊識別能力,并支持多種數(shù)據(jù)庫服務(wù)器,如MySQL、Microsoft Access、IBM DB2和SQLite。
?可通過DBMS憑據(jù)、IP地址、端口和數(shù)據(jù)庫名稱直接連接到數(shù)據(jù)庫進(jìn)行漏洞掃描測試。
?支持可調(diào)用的(代碼或GitHub)集成,可執(zhí)行任意命令,檢索標(biāo)準(zhǔn)輸出并生成報告。
?可掃描多種類型的SQL注入,包括:基于布爾的盲注、基于時間的盲注、基于錯誤的注入、基于UNION查詢的注入、堆疊查詢和帶外注入等。
?自動識別和使用密碼哈希進(jìn)行具有許可訪問權(quán)限的測試,還可以進(jìn)行密碼破解。
?支持超過30個數(shù)據(jù)庫管理系統(tǒng)。
?沒有圖形用戶界面,需要通過命令行?只針對數(shù)據(jù)庫中的漏洞?需要一定的數(shù)據(jù)庫專業(yè)知識才能有效使用
https://www.esecurityplanet.com/applications/open-source-vulnerability-scanners/
本文鏈接:http://www.tebozhan.com/showinfo-26-82363-0.html六款較流行的開源漏洞掃描工具推薦及特點分析
聲明:本網(wǎng)頁內(nèi)容旨在傳播知識,若有侵權(quán)等問題請及時與本網(wǎng)聯(lián)系,我們將在第一時間刪除處理。郵件:2376512515@qq.com
Copyright ? 2016-2023 天津谷騏科技有限公司 版權(quán)所有 sitemap.xml
違法及侵權(quán)請聯(lián)系:2376512515@qq.com 津ICP備18001702號
津公網(wǎng)安備 12010102000574號