掐指一算，以乙方的角色做了一年有多的安全評(píng)估工作了，在與客戶、加固人員交流的過程中遇到了不少問題，也思考了應(yīng)該怎么去改進(jìn)，本文寫寫一些想法，歡迎批評(píng)指正。

網(wǎng)站建設(shè)哪家好，找成都創(chuàng)新互聯(lián)公司！專注于網(wǎng)頁設(shè)計(jì)、網(wǎng)站建設(shè)、微信開發(fā)、微信小程序定制開發(fā)、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項(xiàng)目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了盤龍免費(fèi)建站歡迎大家使用！

面臨的問題：

   1.客戶和加固人員認(rèn)為：安全評(píng)估不就是拿個(gè)掃描器掃一掃、然后丟出一個(gè)報(bào)表嘛，誰不會(huì)；

   2.內(nèi)網(wǎng)掃描報(bào)告，往往有讓人望而卻步的高、中、低危漏洞千百個(gè)，你讓客戶情何以堪，你讓加固人員怎么活命；

   3.評(píng)估人員、加固人員、客戶由于“道行”不同，或者“立場(chǎng)”不同，導(dǎo)致對(duì)漏洞的理解各不相同，扯皮時(shí)有發(fā)生；

   4.掃描報(bào)告中的高、中、低危險(xiǎn)標(biāo)識(shí)，不和資產(chǎn)價(jià)值、業(yè)務(wù)系統(tǒng)重要程度掛鉤，導(dǎo)致加固沒有次重點(diǎn)，多次加固評(píng)估無法體現(xiàn)風(fēng)險(xiǎn)的消減程度；

希望做到：

   1.區(qū)別對(duì)待千百個(gè)高、中、低危險(xiǎn)漏洞，可以做撒網(wǎng)式掃描，不能做撒網(wǎng)式加固；

   2.嘗試以更加專業(yè)的角度面對(duì)客戶和加固人員，對(duì)掃描結(jié)果進(jìn)一步深加工處理；

   3.把漏洞和資產(chǎn)價(jià)值，業(yè)務(wù)系統(tǒng)掛鉤，區(qū)別的對(duì)待安全漏洞讓加固工作更具可操作性；

下面提供一些深加工掃描報(bào)告的思路

1.漏洞分類：

   操作系統(tǒng)漏洞：微軟的，Unix的，Linux的，Solaris的等

   業(yè)務(wù)軟件漏洞：oracle，weblogic，struts2，PHP等

   網(wǎng)絡(luò)和安全設(shè)備漏洞：cisco，h4c，華為等

   輔助程序漏洞：ftp，office，ie，openssh等

2.漏洞利用難易程度

   直接利用成功率高：

       弱口令

       MS08-067，Struts

   間接利用成功率高：

 IE漏洞—需要制造***網(wǎng)頁，引誘用戶點(diǎn)擊

 office漏洞—需要發(fā)送病毒文檔，通過打開病毒文檔***

 （存在運(yùn)氣成分，而且基本只能在PC終端才會(huì)中招）

   成功率很低的漏洞：

 一些溢出漏洞（和用戶環(huán)境、版本、語言等相關(guān)性高）

 偏門的程序漏洞（沒有現(xiàn)成的exp，需要代碼級(jí)的能力）

3.漏洞真實(shí)性、準(zhǔn)確性

   了解掃描器的掃描原理有助于我們對(duì)漏洞的把握，及時(shí)排除誤報(bào)漏洞。

       精確掃描：本次為精確掃描，極少出現(xiàn)誤報(bào)。

       原理掃描：本次掃描根據(jù)原理進(jìn)行，可能存在誤報(bào)。

       版本掃描：本次掃描根據(jù)版本進(jìn)行，可能存在誤報(bào)。

       暴力破解：本次掃描通過暴力猜測(cè)方式證實(shí)目標(biāo)主機(jī)上的XX服務(wù)存在可猜測(cè)的口令。

4.加固思路

    加固最好有計(jì)劃、有步驟進(jìn)行，加固順序參考業(yè)務(wù)系統(tǒng)重要程度。

    優(yōu)先加固利用成本低成功率高的漏洞（弱口令等）。。。。

       操作系統(tǒng)漏洞：強(qiáng)烈建議安裝修復(fù)

       業(yè)務(wù)軟件漏洞：需要評(píng)估對(duì)業(yè)務(wù)系統(tǒng)的影響

       網(wǎng)絡(luò)和安全設(shè)備漏洞：較少

       輔助程序漏洞：特別關(guān)注輔助程序是否需要用，是否有可替代的程序。特別關(guān)注一些默認(rèn)安裝帶來的不必要漏洞。

5.更進(jìn)一步，我們可能應(yīng)該學(xué)習(xí)和關(guān)注的

    業(yè)務(wù)漏洞

    邏輯漏洞

    物理漏洞等等掃描器掃不出來，但是影響很大的漏洞