如何進行漏洞評估,有什麼工具可以協助我們,在第一篇介紹弱點掃描常用的工具與軟體,透過弱點掃描工具可以協助我們辨識漏洞與進行漏洞評估。
要注意弱點掃瞄工具輸出的結果,不一定正確,因此要透過驗證的方式,驗證漏洞是否存在,以下是我們常用的弱點掃描工具:
| 類型 | 名稱 | 說明 |
|---|---|---|
| 網路 | Nessus | 商業軟體,Nessus Professional 試用版本 七天 |
| 網路 | Open VAS | 開源 |
| 網站 | Acunetix Web Vulnerability Scanner(AWVS) | 付費軟體試用期14天 |
| 網站 | OWASP ZAP | 開源 |
- Tenable Nessus 官方網站
- Nessus 業界常用的弱點掃描工具
- 特性
- 有許多插件可以使用
- 更新速度弱點特徵碼的速度很快
- 有自己的弱點資料庫
- 可以針對多主機、網段進行掃描
- 缺點
- 弱點掃描缺點: 只能測試已知漏洞
- 會受到掃描環境的網路影響
