内部漏洞扫描报告

Question

如何为我的项目编写内部漏洞扫描报告？

我是否必须使用工具来生成此报告？我已经在网上搜索过了，但我一直无法理解它。

Answer 1

内部漏洞扫描通常由自动化工具执行。市场上有很多软件，包括自由/开源软件和商业软件。如果您不知道从哪里开始查找，那么PCI网站上的Approved Scanning Vendors (ASVs)列表是一个很好的起点。你不必使用ASV进行内部扫描，但他们肯定会有产品可以帮助你。

内部漏洞扫描通常从有权访问内部环境的控制台运行。它将从网络探测开始，然后根据它找到的结果在堆栈中向上移动。考虑到这是一个自动扫描，不要期望它能提供与目标渗透测试相同的详细程度，但这是一个很好的开始，可以看到您的安全在哪里。

编写自己的漏洞扫描程序是非常不寻常的，因为它需要网络、操作系统和应用程序以及安全漏洞的专业知识。当在堆栈中发现新的漏洞时，它需要保持最新。如果你拥有所有这些技能，那么你可能会在某一家商业公司找到工作！