如何为项目编写内部漏洞扫描报告?
我是否必须使用工具生成此报告?
我在网上搜索过与此相关但我无法理解的内容。
答案 0 :(得分:1)
内部漏洞扫描通常由自动化工具执行。市场上有很多,包括FOSS和商业软件。如果您不知道从哪里开始查看,PCI网站上的Approved Scanning Vendors (ASVs)列表是一个很好的起点。您没有 使用ASV进行内部扫描,但他们肯定会有可以帮助您的产品。
内部漏洞扫描通常从可以访问内部环境的控制台运行。它将从网络探测器开始,并根据它找到的内容在堆栈中向上运行。鉴于它是一种自动扫描,不要指望它提供与目标渗透测试相同的详细程度,但它是一个良好的开端,可以看到您的安全性。
编写自己的漏洞扫描程序是非常不寻常的,因为它需要专业的网络,操作系统和应用程序知识以及安全漏洞。当找到堆栈中的新漏洞时,它需要保持最新状态。如果你拥有所有这些技能,那么有一个商业公司可能会为你提供工作机会!