如何为我的项目编写内部漏洞扫描报告?
我必须使用工具来生成此报告吗?我在网上搜索了与此相关的内容,但我一直无法理解。
问问题
354 次
1 回答
1
内部漏洞扫描通常由自动化工具执行。市场上有很多,包括 FOSS 和商业软件。如果您不知道从哪里开始寻找,那么 PCI 网站上的认可扫描供应商 (ASV)列表是一个不错的起点。您不必使用ASV 进行内部扫描,但他们肯定会提供可以帮助您的产品。
内部漏洞扫描通常从可以访问内部环境的控制台运行。它将从网络探测开始,并根据它找到的内容在堆栈中向上工作。鉴于它是一种自动扫描,不要期望它提供与目标渗透测试相同级别的详细信息,但这是了解您的安全性所在的良好开端。
编写自己的漏洞扫描程序是非常不寻常的,因为它需要网络、操作系统和应用程序以及安全漏洞的专业知识。随着堆栈中的新漏洞被发现,它需要保持最新。如果您具备所有这些技能,那么其中一家商业公司可能会为您提供工作!
于 2012-07-17T20:28:05.000 回答