在运行nessus扫描时,它报告的严重性问题为“信息”。我们是否应该将这些视为针对该产品/模块的安全漏洞。
Nessus文档在这方面不是很清楚。想知道什么是常见的行业惯例。
答案 0 :(得分:0)
INFO并非旨在成为漏洞。它只是说明一个事实。例如:
Determined your operating system is <your os name>
那不是漏洞。它也可能告诉您发现的结果,您需要确定是否可以。例如:
Found port 22 is open
这也不是真正的漏洞,因为SSH(用于* nix)在端口22上运行。但是,如果您不希望打开端口22,则需要自行更正。
成功也报告为INFO。例如:
Checking for users with no password. SUCCESS!
MEDIUM表示Nessus运行了测试,因此无法确定测试是否通过失败。
例如,Nessus无法扫描sudoers文件中的NOPASSWD,因为它不可读。这不是失败。这不是成功。因此它将显示为MEDIUM。
高表示Nessus运行了测试,结果表明失败。例如:
Looking for mounts with nosuid set. Results:
Found /tmp/swap
Found /share
Add nosuid to /etc/fstab
希望这可以帮助将来的用户解释他们的Nessus结果。
答案 1 :(得分:-1)
一般来说,这些都不是漏洞。但是,这些信息可能会派上用场,因为您可能需要采用这种方法来利用系统中存在的漏洞。