CN110719300A - 一种自动化漏洞验证的方法和系统 - Google Patents
一种自动化漏洞验证的方法和系统 Download PDFInfo
- Publication number
- CN110719300A CN110719300A CN201911129093.7A CN201911129093A CN110719300A CN 110719300 A CN110719300 A CN 110719300A CN 201911129093 A CN201911129093 A CN 201911129093A CN 110719300 A CN110719300 A CN 110719300A
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- host
- verification
- target host
- console server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开涉及一种自动化的漏洞验证的方案,包括:从配置漏洞控制台服务器接收并配置配置文件,以将主机转换成用于漏洞验证的节点;所述节点根据所述漏洞控制台服务器上的漏洞库对同网段内的目标主机进行漏洞探测;如果探测到可能存在漏洞的目标主机,则使用由所述漏洞控制台服务器提供的相应漏洞扫描工具来尝试控制所述可能存在漏洞的目标主机的权限;如果控制成功,则在收集所述可能存在漏洞的目标主机的漏洞风险信息和资产信息并分别上传给所述漏洞控制台服务器上的所述漏洞库和资产库之后,将所述可能存在漏洞的目标主机作为用于漏洞验证的新节点并继续执行所述漏洞探测。
Description
技术领域
本公开涉及对网络中的计算机主机的漏洞检测和验证,具体而言,涉及一种对企业内部网中的主机进行自动化漏洞验证的方案。
背景技术
在全球信息化的大趋势下,越来越多的计算设备通过各种网络被连接在一起,进而形成了各种类型的计算机网络。由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,因此,非常容易受黑客攻击。入侵者只要从复杂的计算机网络中找到一个裂缝,就能轻而易举地闯入系统。所以,了解这些缝都有可能在哪里,对于能否修补它们来说是至关重要的。通常,裂缝主要表现为软件编写存在的bug、系统配置不当、口令失窃、明文通讯信息被监听以及初始设计存在缺陷等方面。一般而言,这种裂缝通常也被称之为“漏洞”。
传统方式下,企业对自身的安全漏洞扫描方式多为购置或自研漏洞扫描器进行扫描、发现漏洞,此方式能够相对高效的发现部分对外易探测的高危系统服务漏洞,但企业中存在的更多的风险,如:难以直接探测的系统配置不当、员工操作不规范、凭据泄漏、网络边界隔离等问题,却难以被传统扫描器所覆盖,目前大部分是以人工渗透的方式进行发现。
因此,需要一种能够将漏洞验证进行自动化、深入化和覆盖化的方案。
发明内容
本公开涉及一种自动化漏洞验证的方案,该方案可以以DAG图的形式在网段中横向扩展漏洞验证,以发现深层次漏洞。
根据本公开的第一方面,提供了一种自动化的漏洞验证的方法,包括:从配置漏洞控制台服务器接收并配置配置文件,以将主机转换成用于漏洞验证的节点;所述节点根据所述漏洞控制台服务器上的漏洞库对同网段内的目标主机进行漏洞探测;如果探测到可能存在漏洞的目标主机,则使用由所述漏洞控制台服务器提供的相应漏洞扫描工具来尝试控制所述可能存在漏洞的目标主机的权限;如果控制成功,则在收集所述可能存在漏洞的目标主机的漏洞风险信息和资产信息并分别上传给所述漏洞控制台服务器上的所述漏洞库和资产库之后,将所述可能存在漏洞的目标主机作为用于漏洞验证的新节点并继续执行所述漏洞探测。
根据本公开的第二方面,提供了一种自动化的漏洞验证的系统,包括:包括一个或多个主机的网络;与所述网络相连的漏洞控制台服务器;其中,所述漏洞控制台服务器被配置为将配置文件发送给所述网络中的一个主机,以将所述主机转换成用于漏洞验证的节点;所述节点被配置为:根据所述漏洞控制台服务器上的漏洞库对同网段内的目标主机进行漏洞探测;如果探测到可能存在漏洞的目标主机,则使用由所述漏洞控制台服务器提供的相应漏洞扫描工具来尝试控制所述可能存在漏洞的目标主机的权限;如果控制成功,则在收集所述可能存在漏洞的目标主机的漏洞风险信息和资产信息并分别上传给所述漏洞控制台服务器上的所述漏洞库和资产库之后,将所述可能存在漏洞的目标主机作为用于漏洞验证的新节点并继续执行所述漏洞探测。
提供本概述以便以简化的形式介绍以下在详细描述中进一步描述的一些概念。本概述并不旨在标识所要求保护主题的关键特征或必要特征,也不旨在用于限制所要求保护主题的范围。
附图说明
为了描述可获得本公开的上述和其它优点和特征的方式,将通过参考附图中示出的本公开的具体实施例来呈现以上简要描述的本公开的更具体描述。可以理解,这些附图只描绘了本公开的各典型实施例,并且因此不被认为是对其范围的限制,将通过使用附图并利用附加特征和细节来描述和解释本公开,在附图中:
图1示出了一种根据本公开的一实施例的基于DAG图的自动化漏洞验证的示例性环境。
图2示出了一种根据本公开的一实施例的基于DAG图的自动化漏洞验证的方法的流程图。
具体实施方式
首先,在描述本公开的具体方案之前,先描述一下将在下面实施例中出现的一些术语,以方便理解。
所谓的“漏洞”是指一个系统存在的弱点或缺陷,系统对特定威胁攻击或危险事件的敏感性,或进行攻击的威胁作用的可能性。漏洞可能来自应用软件或操作系统设计时的缺陷或编码时产生的错误,也可能来自业务在交互处理过程中的设计缺陷或逻辑流程上的不合理之处。这些缺陷、错误或不合理之处可能被有意或无意地利用,从而对一个组织的资产或运行造成不利影响,如信息系统被攻击或控制,重要资料被窃取,用户数据被篡改,系统被作为入侵其他主机系统的跳板。而漏洞利用是指:利用程序中的某些漏洞,来得到计算机的控制权(使自己编写的代码越过具有漏洞的程序的限制,从而获得运行权限)。因此,如何能够及时发现并堵住系统漏洞是开发人员无法回避的难题,并且该难题始终伴随软件的开发、部署和使用的整个生命周期。
DAG图:在图论中,如果一个有向图从任意顶点出发无法经过若干条边回到该点,则这个图是一个有向无环图(DAG图)。
横向扩展:在渗透测试中,安全工程师在获取一处计算机权限的情况下对同网络中的其他服务器进行漏洞利用与权限获取,以获取更多计算机控制权的操作。
如上所述,目前,企业对自身的安全漏洞扫描方式多为购置或自研漏洞扫描器进行扫描、发现漏洞。所使用的漏洞扫描器的流程主要采用指定目标的主机服务探测->漏洞库匹配与验证扫描->上报漏洞的模式。这种模式可以发现大部分容易被探测到的高危系统服务漏洞,但却难以发现诸如系统配置不当、员工操作不规范、凭据泄漏、网络边界隔离等深层次问题。且所述传统方案需要漏洞扫描者输入固定的企业资产(IP地址、域名等)。如果用户对资产掌握不足(例如不熟悉企业的网络分布状况),就可能导致遗漏对某些主机的漏洞扫描操作。因此,传统的漏洞扫描机制存在诸如难以发现深层次漏洞、需要手动操作以及覆盖有局限性等问题。
为了解决上述问题,本方案提出了自动化漏洞验证方案。具体而言,所述方案基于有向无环图DAG的模式,将企业内网中常见的高危漏洞的利用与验证代码模块化,通过结合服务器的各类信息、配置、网络等感知代码以实现动态的漏洞利用、验证与新风险发现,并且能够通过自动化横向扩展发现企业中传统扫描器难以发现的深层次安全风险问题,以便企业安全负责人员及时修复漏洞。下面就结合附图来进一步描述本公开的所述方案。
具体而言,在本公开的方案中涉及一种自动化的漏洞验证的系统,包括:
包括一个或多个主机的网络;
与所述网络相连的漏洞控制台服务器;
其中,所述漏洞控制台服务器被配置为将配置文件发送给所述网络中的一个主机,以将所述主机转换成用于漏洞验证的节点;
所述节点被配置为:
根据所述漏洞控制台服务器上的漏洞库对同网段内的目标主机进行漏洞探测;
如果探测到可能存在漏洞的目标主机,则使用由所述漏洞控制台服务器提供的相应漏洞扫描工具来尝试控制所述可能存在漏洞的目标主机的权限;
如果控制成功,则在收集所述可能存在漏洞的目标主机的漏洞风险信息和资产信息并分别上传给所述漏洞控制台服务器上的所述漏洞库和资产库之后,将所述可能存在漏洞的目标主机作为用于漏洞验证的新节点并继续执行所述漏洞探测。
在一个实施例中,如果控制失败,则将所述目标主机的资产信息和漏洞尝试失败记录录入所述漏洞控制台服务器上的所述资产库。
在另一个实施例中,如果探测到所述目标主机不存在漏洞或所述控制失败,则确定所述网段内是否存在未经验证的主机;
如果存在未经验证的主机,将所述未经验证的主机作为新目标主机以执行所述漏洞探测;
如果不存在未经验证的主机,则根据所述漏洞库生成漏洞验证报告。
下面结合附图1来对上述方案进行详细描述。首先,如图1所示,公开了一种根据本公开的一实施例的自动化漏洞验证的示例性系统环境。
如图1所示,本公开的系统环境主要包括漏洞控制台服务器110、包含一个或多个主机130(1),……,130(n)的网络120以及通信链接140。如图所示,漏洞控制台服务器110通过通信链接140与包含主机130的网络120相连。所述漏洞控制台服务器110可以是由一个服务器或服务器组构成,而所述通信链接则可以包括有线或无线链接,例如互联网、局域网、WIFI、WLAN、蜂窝通信网络(GPRS、CDMA、2G/3G/4G/5G蜂窝网络)、卫星通信网络等等。而所述网络120一般是指企业内部网,也即由位于企业内部的主机群所构建的内部网。主机130一般是指分布在企业的各个部门中的个人计算机、平板、服务器等等,它们通过企业内部网(网络120)被彼此连接在一起。
本公开的方案与传统方案的主要不同点在于:在本公开中额外提供了一个漏洞控制台服务器110,该漏洞控制台服务器110主要包括配置文件模块、漏洞库模块、漏洞扫描工具模块以及资产库这四个模块。
在配置文件模块中存储有构建用于漏洞验证的节点所需的配置文件,包括:需要探测的目标网段范围、端口与开放的服务以及对应服务的弱口令扫描、版本号以及其他用于漏洞验证所需数据。通过将所述配置文件传送给所述网络120中的某个主机并在该主机处执行,就可以使得该节点被转换成具有漏洞探测功能的节点。
所述漏洞库存储有常见的漏洞检测和利用代码、漏洞匹配特征、漏洞说明、漏洞类型、漏洞风险等级、漏洞适用操作系统环境以及其他信息。这些信息可以以针对各种漏洞的专用插件的形式存储。每个插件可以作为用于验证与之相关联的漏洞的漏洞验证模块以供节点在漏洞探测时加载。所述漏洞库中的数据可以来自各大漏洞网站所公布的已知的各种系统漏洞,或者可以随着漏洞验证任务所收集的相关数据而对其进行更新。因此,所述漏洞库随着漏洞验证过程被动态更新。
而漏洞扫描工具模块则存储有各种漏洞扫描工具,例如针对企业常用服务如Jenkins、ElasticSearch等的历史漏洞的Python语言漏洞探测脚本等。每种漏洞扫描工具可以与相应的漏洞相匹配。在从具有漏洞探测功能的节点接收到包含可能存在漏洞的主机的探测结果后,所述漏洞控制台服务器110可以根据该探测结果(漏洞的类型)将存储在漏洞扫描工具模块中匹配的漏洞扫描工具下发给该节点,使得该节点通过执行所述漏洞扫描工具来尝试利用所检测到的漏洞控制可能存在所述漏洞的主机的权限。
资产库记录了在漏洞验证的过程中网段内的所有主机的信息,例如,主机名、主机IP、环境变量、配置信息、探测到的风险、尝试控制失败的次数以及其他信息。其功能是记录在漏洞验证的过程中,哪些主机已经被验证过、哪些主机还未被验证过、被验证的主机探测到的风险、是否成功利用了主机的漏洞、尝试控制失败的次数等等信息。由于资产库记录了整个漏洞验证过程中所涉及的所有各个主机的验证状态,因此,基于该资产库,可以在漏洞验证任务的过程的最后,生成一份漏洞验证报告以供安全人员查阅和修复。
具体而言,利用上述这些模块,在需要验证网络120中的某个网段内的各台主机是否存在漏洞(即执行漏洞验证任务)时,漏洞控制台服务器110可以先从所述网段内选择出一台主机作为初始节点,接着,将配置文件发送给该主机并使得其执行所述配置文件以将所述主机转换成具有漏洞探测功能的节点。随后,初始节点进行自身网络环境探测,并通过加载漏洞控制台服务器110上的漏洞库中的漏洞验证模块以对同网段内的各主机进行高危漏洞探测。在初始节点探测到可能存在漏洞的主机时,可以向所述漏洞控制台服务器110返回探测结果,所述漏洞控制台服务器110根据所述探测结果向所述初始节点下发与该可能存在漏洞的主机所含有的漏洞相匹配的漏洞扫描工具。在接收到所述漏洞扫描工具后,初始节点就开始尝试使用该工具来利用所述漏洞控制所述可能存在漏洞的主机的权限。一旦控制成功,则收集该受控主机的各种与漏洞相关的信息并将其上传给漏洞控制台服务器110以更新漏洞库。如果所述控制不成功,则节点继续探测下一可能存在漏洞的主机并尝试利用漏洞控制该主机。随后,可以将该受控主机启用为新的探测节点以开始查找网段内新的可能存在漏洞的主机,通过不断循环上述过程,直至再也无法发现新的可能存在漏洞的主机或者操作者主动中止该过程。
上述这种漏洞验证方案可以在目标网段内形成一种DAG图形式的漏洞探测和验证过程。通过不断利用探测到漏洞将具有漏洞的主机转换成新的探测节点,可以实现漏洞探测的自动化横向扩展,发现企业中传统扫描器难以发现的深层次安全风险问题。
在本公开的另一方面,公开了一种自动化的漏洞验证的方法,包括:
从配置漏洞控制台服务器接收并配置配置文件,以将主机转换成用于漏洞验证的节点;
所述节点根据所述漏洞控制台服务器上的漏洞库对同网段内的目标主机进行漏洞探测。
如果探测到可能存在漏洞的目标主机,则使用由所述漏洞控制台服务器提供的相应漏洞扫描工具来尝试控制所述可能存在漏洞的目标主机的权限。
如果控制成功,则在收集所述可能存在漏洞的目标主机的漏洞风险信息和资产信息并分别上传给所述漏洞控制台服务器上的所述漏洞库和资产库之后,将所述可能存在漏洞的目标主机作为用于漏洞验证的新节点并继续执行所述漏洞探测。
并且,在一些实施例中,如果控制失败,则将所述目标主机的资产信息和漏洞尝试失败记录录入所述漏洞控制台服务器上的所述资产库。
在另一些实施例中,如果探测到所述目标主机不存在漏洞或所述控制失败,则确定所述网段内是否存在未经验证的主机;
如果存在未经验证的主机,将所述未经验证的主机作为新目标主机以执行所述漏洞探测;
如果不存在未经验证的主机,则根据所述漏洞库生成漏洞验证报告。
下面结合附图2来具体描述下根据本公开的一实施例的自动化漏洞验证的方法的流程图。
在步骤210,配置并运行用于漏洞验证的节点。在最初阶段,所述漏洞控制台服务器选中目标网段内的一主机作为初始节点。这样,所述配置包括使得被选中的主机与漏洞控制台服务器对接通信以接收配置文件。在所述配置文件中所述漏洞控制台服务器设定了要执行自动漏洞验证的目标网段边界范围、端口与开放的服务以及对应服务的弱口令扫描、版本号以及其他用于漏洞验证所需数据等等信息。所述选中的主机通过加载所述配置文件转换成具有漏洞探测功能的初始节点。而在后续阶段中,被验证存在漏洞并被控制的主机会被配置为新的节点以继续执行漏洞验证过程,这将在后续步骤中详述。
在步骤220,所述节点进行自身网络环境探测,并向同网段(目标网段边界范围)内的其他主机进行高危漏洞探测。所述漏洞探测可以通过在所述节点上加载漏洞控制台服务器的漏洞库中存储的漏洞验证模块(漏洞插件)以对目标主机进行漏洞探测来实现。由于在漏洞库中存储了常见的漏洞检测和利用代码、漏洞匹配特征、漏洞说明、漏洞类型、漏洞风险等级、漏洞适用操作系统环境等信息,因此,通过在目标主机上查找是否存在相应的代码或特征就能够确定所述目标主机是否可能存在漏洞。之所以说是“可能存在”是因为节点仅仅是依据是否存在一定匹配度的代码和特征段来探测漏洞,因此,并没有直接证据来证明包含所述代码或特征的程序一定就是漏洞。所以,在探测到目标主机可能存在漏洞之后,还需要进一步对所述目标主机执行以下的漏洞验证步骤。在一些实施例中,所述漏洞探测还支持用户输入历史发现的高危服务漏洞数据作为初始目标。
如果在该步骤中发现目标主机并不存在漏洞,则流程转至步骤260,在该步骤,判断在所述目标网段内是否还存在未经验证的主机。所述判断可以通过查询资产库中是否存在具有未验证状态的主机来实现。如果不存在未经验证的主机,则所述漏洞验证过程结束,并在步骤290中基于所述资产库中的内容生成漏洞验证报告。如果存在未经验证的主机,则在步骤270,将该未经验证的主机作为新的目标主机,并再次执行步骤220来确定该新目标主机是否可能存在漏洞。
如果在步骤220中的漏洞探测步骤中探测到目标主机可能存在漏洞,则在步骤230中,节点使用漏洞扫描工具来尝试是否能利用所探测到的漏洞控制该可能存在漏洞的目标主机的权限。具体而言,所述节点先将探测到的结果返回给漏洞控制台服务器,所述探测结果可以包括可能存在漏洞的主机名、IP地址、漏洞的类型等等。漏洞控制台服务器在接收到所述探测结果后,可以根据该探测结果(漏洞的类型)将存储在漏洞扫描工具模块中匹配该漏洞的漏洞扫描工具下发给该节点,使得该节点通过执行所述漏洞扫描工具来尝试利用所探测到的漏洞控制可能存在所述漏洞的目标主机的权限。
如果所述控制不成功(失败),则在步骤280,将与该目标主机相关的资产(与该目标主机相关的各种信息,例如主机名、IP地址、检测到的(可能的)漏洞信息、是否成功利用了漏洞以及其他环境属性信息等)与对应漏洞的失败尝试记录录入漏洞控制台服务器的资产库内以对其进行更新。随后,所述流程行进至步骤260来确定是否存在下一未经验证的主机可以作为目标主机进行漏洞探测。如果存在未经验证的主机,则在步骤270,将该未经验证的主机作为新的目标主机,并再次执行步骤220来确定该新目标主机是否可能存在漏洞。
如果控制成功,说明该目标主机确实存在所述漏洞可以窃取其控制权限。这样,在步骤240,收集该受控的目标主机中的各种漏洞风险信息,例如不当的管理凭据明文存储、敏感操作日志、常见关键服务的配置文件及网络连接与登录日志等信息、发现泄漏的凭据、不当的配置等等异常信息。随后,对所述收集到漏洞风险信息进行相应的处理,例如“去重”操作,即去除与漏洞控制台服务器的漏洞库中存储的漏洞数据重复的已知信息,进而过滤出可以用于漏洞探测的新参数,或者格式化操作,即将经去重的漏洞风险信息格式化为漏洞库适用的格式,等等。然后,将所述经处理的漏洞风险信息上传并输入到所述漏洞控制台服务器的漏洞库中。同时,还采集与该受控的目标主机关联的资产信息(例如,主机名、IP、主机的其他环境属性信息以及探测到的风险)并将其上传并录入到漏洞控制台服务器的资产库中。
在步骤250,被验证为确实存在漏洞并被控制的该目标主机将被作为新的用于漏洞验证的节点。因此,所述目标主机会以自身为节点,重新执行如上所述的配置节点、探测主机是否存在漏洞、尝试控制主机的权限、收集并上传信息、将存在漏洞的主机作为新节点等步骤,如此一直循环这个过程。直到在步骤260中确定目标网段内再也没有新的主机可以被用作目标主机来进行漏洞探测和验证,也即网段内的所有主机都已经经过了漏洞探测和/或验证为止。或者,所述流程被操作者主动中止。至此,所述循环流程形成了一个DAG图形式的漏洞验证过程,该DAG图覆盖了目标网段中的所有主机,并且所述漏洞验证可以随着探测节点的不断深入而自动横向扩展。
当在步骤260中确定网段内的所有主机都已经经过了漏洞探测和/或验证(“否”分支)之后,流程进入步骤290。在该步骤,漏洞控制台服务器根据资产库中在上述漏洞验证过程中所记录的网段内的各个主机的资产信息生成一个漏洞验证报告。由于资产库记录了网段内的所有主机的验证信息,例如,主机名、主机IP、环境变量、配置信息、探测到的漏洞风险、尝试失败的次数等等,因此,基于该资产库中的资产信息所生成的漏洞验证报告能够详细且全面地描述整个网段中的主机的漏洞验证情况,方便了安全人员的修改。至此,整个漏洞验证过程结束。
在一些实施例中,随着在步骤240中收集到并上传给漏洞控制台服务器的漏洞库的各种主机信息、凭据等新漏洞风险信息的增多,所述漏洞库也越来越壮大。因此,可能存在一种情况,即原本无法攻击成功以控制其权限的主机在上述收集到足够多的新信息和凭证的情况下,可能被配合有这些新参数的漏洞扫描工具攻击成功,进而获得该主机的控制权限。因此,在步骤230中的“尝试利用所探测到的漏洞控制可能存在所述漏洞的目标主机的权限”可以不止一次地被执行。举例而言,当进程行进到某个被控制成功的主机并且从其收集到与先前已经尝试控制权限但没有成功的主机相关联的新漏洞风险信息,例如当前受控主机与所述先前的主机之间有网络连接、存在历史登录记录、以及存在配置文件、应用名、用户名相同等情况,则可以在所述受控主机作为用于漏洞验证的节点时,再次尝试使用新收集的漏洞风险信息对所述先前主机的权限进行控制。取决于所述新漏洞风险信息的具体内容,所述尝试可能成功也可能失败。如果成功,则可以在收集并上传所述受控的先前主机的信息后将该先前主机作为新节点继续进行漏洞验证。如果失败,则可相应更新在资产库中的该主机的漏洞尝试失败次数。
在进一步的实施例中,如果某个主机在资产库中的漏洞尝试失败次数达到阈值,则所述漏洞控制台服务器可以规定即使在今后的漏洞验证过程中新发现与该主机相关的新漏洞风险信息也不再尝试控制该主机的权限,以避免过多的重复尝试次数拖累整个漏洞验证过程的进度。
本方案综合了企业常见的高危系统服务漏洞模块代码,通过高危漏洞验证的过程中临时控制目标主机权限,并通过自动化的方式采集与分析主机上的关键配置、凭据、日志、网络连接、操作记录等内容,并加入到漏洞库,综合不断学习的漏洞风险数据自动化横向探测发现的更多的主机是否存在易被入侵的安全风险,可以发现到每个高危漏洞后的主机中存在的各类深层次风险,并不受传统的漏洞扫描任务下发者对资产信息数据不全等问题限制。并且,每个存在漏洞的主机都可以作为漏洞探测源,避免了传统扫描器的部分网络边界不可达的问题。
上述对本公开特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。而且,相关领域的技术人员将领会,在不偏离如所附权利要求书所定义的本公开的精神和范围的情况下,所述实施例可以在形式和细节方面进行各种修改。因此,此处所公开的本公开的宽度和范围不应被上述所公开的示例性实施例所限制,而应当仅根据所附权利要求书及其等同替换来定义。
Claims (13)
1.一种自动化的漏洞验证的方法,包括:
从配置漏洞控制台服务器接收并配置配置文件,以将主机转换成用于漏洞验证的节点;
所述节点根据所述漏洞控制台服务器上的漏洞库对同网段内的目标主机进行漏洞探测;
如果探测到可能存在漏洞的目标主机,则使用由所述漏洞控制台服务器提供的相应漏洞扫描工具来尝试控制所述可能存在漏洞的目标主机的权限;
如果控制成功,则在收集所述可能存在漏洞的目标主机的漏洞风险信息和资产信息并分别上传给所述漏洞控制台服务器上的所述漏洞库和资产库之后,将所述可能存在漏洞的目标主机作为用于漏洞验证的新节点并继续执行所述漏洞探测。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
如果控制失败,则将所述目标主机的资产信息和漏洞尝试失败记录录入所述漏洞控制台服务器上的所述资产库。
3.如权利要求2所述的方法,其特征在于,所述方法还包括:
如果探测到所述目标主机不存在漏洞或所述控制失败,则确定所述网段内是否存在未经验证的主机;
如果存在未经验证的主机,将所述未经验证的主机作为新目标主机以执行所述漏洞探测;
如果不存在未经验证的主机,则根据所述漏洞库生成漏洞验证报告。
4.如权利要求1所述的方法,其特征在于,所述方法形成一个DAG图形式的漏洞探测和验证过程。
5.如权利要求1所述的方法,其特征在于,所述漏洞库存储有常见的漏洞检测和利用代码、漏洞匹配特征、漏洞说明、漏洞类型、漏洞风险等级、漏洞适用操作系统环境以及其他信息,其中所述信息可以以针对各种漏洞的专用插件的形式被存储以作为用于验证与之相关联的漏洞的漏洞验证模块供所述节点在漏洞探测时加载。
6.如权利要求5所述的方法,其特征在于,随着收集并上传给所述漏洞库的漏洞风险信息的增多,所述漏洞库被动态更新,并重新尝试控制原本无法控制成功的主机的权限。
7.如权利要求2所述的方法,其特征在于,所述资产库记录了在漏洞验证过程中所述网段内的所有主机的地址、主机名、环境变量、配置信息、探测到的风险、尝试控制失败的次数以及其他信息。
8.如权利要求2所述的方法,其特征在于,当所述资产库中的一个主机的尝试控制失败的次数达到阈值,不再对所述主机进行新的控制尝试。
9.如权利要求1所述的方法,其特征在于,所述方法还包括:
如果探测到可能存在漏洞的目标主机,所述节点先将探测到的结果返回给所述漏洞控制台服务器;
所述漏洞控制台服务器根据所述探测结果将存储在漏洞扫描工具模块中匹配所述漏洞的漏洞扫描工具下发给所述节点以供漏洞验证。
10.如权利要求1所述的方法,其特征在于,所述配置文件包括:需要探测的目标网段范围、端口与开放的服务以及对应服务的弱口令扫描、版本号以及其他用于漏洞验证所需数据。
11.一种自动化的漏洞验证的系统,包括:
包括一个或多个主机的网络;
与所述网络相连的漏洞控制台服务器;
其中,所述漏洞控制台服务器被配置为将配置文件发送给所述网络中的一个主机,以将所述主机转换成用于漏洞验证的节点;
所述节点被配置为:
根据所述漏洞控制台服务器上的漏洞库对同网段内的目标主机进行漏洞探测;
如果探测到可能存在漏洞的目标主机,则使用由所述漏洞控制台服务器提供的相应漏洞扫描工具来尝试控制所述可能存在漏洞的目标主机的权限;
如果控制成功,则在收集所述可能存在漏洞的目标主机的漏洞风险信息和资产信息并分别上传给所述漏洞控制台服务器上的所述漏洞库和资产库之后,将所述可能存在漏洞的目标主机作为用于漏洞验证的新节点并继续执行所述漏洞探测。
12.如权利要求11所述的系统,其特征在于,所述节点还被配置为:
如果控制失败,则将所述目标主机的资产信息和漏洞尝试失败记录录入所述漏洞控制台服务器上的所述资产库。
13.如权利要求12所述的系统,其特征在于,所述节点还被配置为:
如果探测到所述目标主机不存在漏洞或所述控制失败,则确定所述网段内是否存在未经验证的主机;
如果存在未经验证的主机,将所述未经验证的主机作为新目标主机以执行所述漏洞探测;
如果不存在未经验证的主机,则根据所述漏洞库生成漏洞验证报告。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911129093.7A CN110719300B (zh) | 2019-11-18 | 2019-11-18 | 一种自动化漏洞验证的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911129093.7A CN110719300B (zh) | 2019-11-18 | 2019-11-18 | 一种自动化漏洞验证的方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110719300A true CN110719300A (zh) | 2020-01-21 |
| CN110719300B CN110719300B (zh) | 2022-02-01 |
Family
ID=69215251
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911129093.7A Active CN110719300B (zh) | 2019-11-18 | 2019-11-18 | 一种自动化漏洞验证的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110719300B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112257070A (zh) * | 2020-10-22 | 2021-01-22 | 全球能源互联网研究院有限公司 | 一种基于资产场景属性的漏洞排查方法及系统 |
| CN112580053A (zh) * | 2020-10-28 | 2021-03-30 | 西安四叶草信息技术有限公司 | 一种漏洞扫描方法及装置 |
| CN113486358A (zh) * | 2021-07-09 | 2021-10-08 | 建信金融科技有限责任公司 | 一种漏洞检测方法及装置 |
| CN113852620A (zh) * | 2021-09-22 | 2021-12-28 | 中国人民解放军战略支援部队信息工程大学 | 基于模型学习的安全协议主机名验证模块脆弱性分析方法 |
| CN114143075A (zh) * | 2021-11-29 | 2022-03-04 | 国网北京市电力公司 | 安全漏洞预警方法、其装置及电子设备 |
| CN116506236A (zh) * | 2023-06-30 | 2023-07-28 | 北京华云安信息技术有限公司 | 基于节点层级连接的横向网络安全测试方法、装置及设备 |
| CN116545769A (zh) * | 2023-06-30 | 2023-08-04 | 北京华云安信息技术有限公司 | 基于组合模块的远程加载式扫描方法、装置及设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110138469A1 (en) * | 2009-12-03 | 2011-06-09 | Recursion Software, Inc. | System and method for resolving vulnerabilities in a computer network |
| CN104363236A (zh) * | 2014-11-21 | 2015-02-18 | 西安邮电大学 | 一种自动化漏洞验证的方法 |
| CN106708719A (zh) * | 2015-08-04 | 2017-05-24 | 阿里巴巴集团控股有限公司 | 业务功能的测试方法和装置 |
| CN107094158A (zh) * | 2017-06-27 | 2017-08-25 | 四维创智(北京)科技发展有限公司 | 一种自动化内网安全脆弱分析系统 |
| CN109428878A (zh) * | 2017-09-01 | 2019-03-05 | 阿里巴巴集团控股有限公司 | 漏洞检测方法、检测装置和检测系统 |
| CN109981653A (zh) * | 2019-03-28 | 2019-07-05 | 上海中通吉网络技术有限公司 | 一种web漏洞扫描方法 |
-
2019
- 2019-11-18 CN CN201911129093.7A patent/CN110719300B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110138469A1 (en) * | 2009-12-03 | 2011-06-09 | Recursion Software, Inc. | System and method for resolving vulnerabilities in a computer network |
| CN104363236A (zh) * | 2014-11-21 | 2015-02-18 | 西安邮电大学 | 一种自动化漏洞验证的方法 |
| CN106708719A (zh) * | 2015-08-04 | 2017-05-24 | 阿里巴巴集团控股有限公司 | 业务功能的测试方法和装置 |
| CN107094158A (zh) * | 2017-06-27 | 2017-08-25 | 四维创智(北京)科技发展有限公司 | 一种自动化内网安全脆弱分析系统 |
| CN109428878A (zh) * | 2017-09-01 | 2019-03-05 | 阿里巴巴集团控股有限公司 | 漏洞检测方法、检测装置和检测系统 |
| CN109981653A (zh) * | 2019-03-28 | 2019-07-05 | 上海中通吉网络技术有限公司 | 一种web漏洞扫描方法 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112257070A (zh) * | 2020-10-22 | 2021-01-22 | 全球能源互联网研究院有限公司 | 一种基于资产场景属性的漏洞排查方法及系统 |
| CN112580053A (zh) * | 2020-10-28 | 2021-03-30 | 西安四叶草信息技术有限公司 | 一种漏洞扫描方法及装置 |
| CN112580053B (zh) * | 2020-10-28 | 2023-06-09 | 西安四叶草信息技术有限公司 | 一种漏洞扫描方法及装置 |
| CN113486358A (zh) * | 2021-07-09 | 2021-10-08 | 建信金融科技有限责任公司 | 一种漏洞检测方法及装置 |
| CN113852620A (zh) * | 2021-09-22 | 2021-12-28 | 中国人民解放军战略支援部队信息工程大学 | 基于模型学习的安全协议主机名验证模块脆弱性分析方法 |
| CN113852620B (zh) * | 2021-09-22 | 2023-07-18 | 中国人民解放军战略支援部队信息工程大学 | 基于模型学习的安全协议主机名验证模块脆弱性分析方法 |
| CN114143075A (zh) * | 2021-11-29 | 2022-03-04 | 国网北京市电力公司 | 安全漏洞预警方法、其装置及电子设备 |
| CN114143075B (zh) * | 2021-11-29 | 2024-05-28 | 国网北京市电力公司 | 安全漏洞预警方法、其装置及电子设备 |
| CN116506236A (zh) * | 2023-06-30 | 2023-07-28 | 北京华云安信息技术有限公司 | 基于节点层级连接的横向网络安全测试方法、装置及设备 |
| CN116545769A (zh) * | 2023-06-30 | 2023-08-04 | 北京华云安信息技术有限公司 | 基于组合模块的远程加载式扫描方法、装置及设备 |
| CN116545769B (zh) * | 2023-06-30 | 2023-09-12 | 北京华云安信息技术有限公司 | 基于组合模块的远程加载式扫描方法、装置及设备 |
| CN116506236B (zh) * | 2023-06-30 | 2023-09-12 | 北京华云安信息技术有限公司 | 基于节点层级连接的横向网络安全测试方法、装置及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110719300B (zh) | 2022-02-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110719300B (zh) | 一种自动化漏洞验证的方法和系统 | |
| CN108322446B (zh) | 内网资产漏洞检测方法、装置、计算机设备和存储介质 | |
| US11086983B2 (en) | System and method for authenticating safe software | |
| CN111783096B (zh) | 检测安全漏洞的方法和装置 | |
| CN106982194A (zh) | 漏洞扫描方法及装置 | |
| CN110417718B (zh) | 处理网站中的风险数据的方法、装置、设备及存储介质 | |
| CN110059007B (zh) | 系统漏洞扫描方法、装置、计算机设备及存储介质 | |
| CN113392409B (zh) | 一种风险自动化评估预测方法及终端 | |
| KR102230442B1 (ko) | 진단 대상 서버의 설정파일 수집 및 설정파일에 대한 취약점 진단의 주체가 이원화된 취약점 진단 장치 및 방법 | |
| CN112668010A (zh) | 扫描工业控制系统的漏洞的方法、系统及计算设备 | |
| KR102454948B1 (ko) | IoT 기기 점검 방법 및 그 장치 | |
| CN108574681B (zh) | 一种服务器智能扫描方法及装置 | |
| KR101228902B1 (ko) | 클라우드 컴퓨팅 기반 악성코드 분석 지원 시스템 | |
| CN115361203A (zh) | 一种基于分布式扫描引擎的脆弱性分析方法 | |
| CN111611590A (zh) | 涉及应用程序的数据安全的方法及装置 | |
| CN113868669A (zh) | 一种漏洞检测方法及系统 | |
| Dempsey et al. | Automation support for security control assessments | |
| CN113922975A (zh) | 一种安全控制方法、服务器、终端、系统和存储介质 | |
| CN113127875A (zh) | 一种漏洞处理方法及相关设备 | |
| Muharrom et al. | Analysis of Vulnerability Assessment Technique Implementation on Network Using OpenVas | |
| CN116226865A (zh) | 云原生应用的安全检测方法、装置、服务器、介质及产品 | |
| CN115935356A (zh) | 一种软件安全性测试方法、系统及应用 | |
| CN115618324A (zh) | 静态应用安全测试工具的管理方法、装置、设备及介质 | |
| Aarya et al. | Web scanning: existing techniques and future | |
| Zaid et al. | Automated identification of over-privileged smartthings apps |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |