什么是漏洞扫描器

现代漏洞扫描器允许进行认证和非认证扫描。认证扫描允许扫描器使用远程管理协议（如SSH或RDP）直接访问网络资产，并使用提供的系统凭据进行身份验证。这允许扫描器访问低级别数据，并提供有关操作系统、已安装软件、配置问题和缺失安全补丁的详细信息。 相比之下，非认证扫描是一种可能导致大量误报并且无法提供有关资产操作系统和已安装软件的详细信息的方法。这种方法通常由威胁参与者或安全分析师用于确定外部可访问资产的安全态势。

漏洞扫描器还应该能够检测开源依赖项中的风险，尽管这可能具有挑战性，因为相同的易受攻击代码可能出现在不同的依赖项中。保持漏洞扫描器及时更新最新漏洞信息对于其有效性至关重要。

及时更新漏洞扫描器中的漏洞信息库对于其有效性至关重要。漏洞信息库应该包含最新的已知漏洞和相应的修复建议，以确保扫描结果的准确性和完整性。

漏洞扫描器可用于识别和检测网络资产（如防火墙、路由器、Web服务器和应用程序服务器）中由于错误配置或编程缺陷而产生的漏洞。扫描器能够执行经过身份验证和未经身份验证的扫描，前者可直接访问网络资产并使用提供的凭据获取低级别数据（如服务、配置和缺失的安全补丁），从而提供关于操作系统和已安装软件的详细准确信息。

漏洞扫描器还应能够检测开源依赖项中的风险，尽管这可能具有挑战性，因为相同的易受攻击代码可能会捆绑在不同的依赖项中。及时发现和修复这些漏洞对于确保应用程序的安全性至关重要。

漏洞扫描器是全面漏洞管理计划的重要组成部分，该计划涉及识别、分类、优先排序、修复和缓解软件漏洞。它被列为有效网络防御的关键控制措施之一。通过定期扫描和评估，组织可以及时发现并解决潜在的安全风险，从而提高整体网络安全防护能力。

认证扫描需要使用远程管理协议（如SSH或RDP）直接访问网络资产，并使用提供的系统凭据进行身份验证。这种方式可以访问低级别的数据，如特定服务、配置详细信息和主机操作系统，从而提供关于操作系统、已安装软件、配置问题和缺失安全补丁的详细准确信息。 与之相反，非认证扫描不需要身份验证，通常由威胁参与者或安全分析师用于确定外部可访问资产的安全态势。这种方法可能会产生大量误报，并且无法提供有关资产操作系统和已安装软件的详细信息。

除了认证与非认证的区分外，漏洞扫描器还应该能够检测开源依赖项中的风险。然而，相同的易受攻击代码在不同的依赖项中的捆绑可能会影响扫描器有效检测此类漏洞的能力。

根据扫描目标的不同，漏洞扫描器还可分为网络扫描器和主机扫描器。网络扫描器专注于检测网络层面的漏洞，如防火墙配置错误、端口扫描等；而主机扫描器则侧重于检测单个主机系统中的漏洞，如缺失补丁、错误配置等。

从工具来源上看，漏洞扫描器可分为商业扫描器和开源扫描器。商业扫描器通常功能更加全面、易用性更高，但需要付费；而开源扫描器则免费使用，但功能可能有所局限。

无身份扫描无法获取资产的操作系统和已安装软件的详细信息，因此可能导致大量的误报。这种扫描方式通常被威胁行为者或安全分析师用于评估外部可访问资产的安全态势。

漏洞扫描器通常无法检测零日漏洞，更适合于基于漏洞数据库检测已知漏洞。它们也容易产生误报。

开发人员通常会在不同依赖项中重新打包相同的代码，这可能会影响漏洞扫描器检测到这些易受攻击代码的能力和性能。

只有当包含漏洞的软件在系统上运行时，漏洞才能被利用。在包含漏洞的代码被配置在系统上运行之前，它被视为"载体"，漏洞处于休眠状态。漏洞扫描器可能无法检测到这些休眠漏洞。