nt最近領(lǐng)土存在感很低？nt最近領(lǐng)土存在感很低，多半是廢了從布

SS特5紅顏101都是一打一個(gè)準(zhǔn)只有赤那V韌性十足看空投布局SS特5紅顏后方種地我以為赤那V沒(méi)這么2

漏洞掃描軟件Nessus怎么用？

裝完后，在菜單選擇：

當(dāng)然，你需要獲取一個(gè)“activation code”，這個(gè)在上圖點(diǎn)擊后的“主界面”獲取就OK了。

下一步，需要“Update Plugins”，簡(jiǎn)單說(shuō)就是升級(jí)插件，也就是漏洞庫(kù)升級(jí)。需要周期較長(zhǎng)，需要等待，淡定的等待……可以在論壇灌灌水、可以在農(nóng)場(chǎng)偷偷菜！總之時(shí)間較長(zhǎng)，需要淡定！

升級(jí)完后，點(diǎn)上圖的“Manage Users”，添加一個(gè)屬于你的賬戶。添加界面如下圖：

Nessus 4.2.0和上一個(gè)版本4.0.2最大的區(qū)別就是從C/S模式改為了B/S模式，就是說(shuō)你訪問(wèn)系統(tǒng)的時(shí)候可以直接通過(guò)瀏覽器，而不必要再安裝一個(gè)可執(zhí)行文 件，遠(yuǎn)程的計(jì)算機(jī)也可以訪問(wèn)。在上面的帳號(hào)添加好之后，打開(kāi)瀏覽器，輸入你安裝Nessus主機(jī)的地址，主要是https方式而不是http方式訪問(wèn)，端 口是8834，如我的訪問(wèn)地址就是：:8834/，輸入剛添加的帳號(hào)和密碼就Ok了。

主界面上面有4個(gè)按鈕，分別是：Reports(報(bào)表)、Scans(掃描)、Policies(策略)、User(用戶)，其實(shí)也很簡(jiǎn)單，一眼就能看出來(lái)有什么作用。在User我們能進(jìn)行用戶的管理，增加、修改、刪除賬號(hào)，如：User→Add則會(huì)提示：

輸入相關(guān)信息即可，當(dāng)然你可以選擇這個(gè)賬號(hào)是否是Administrator(管理員)。

要進(jìn)行安全評(píng)估，則首先要制定掃描策略，然后添加掃描范圍，才能進(jìn)行掃描，掃描完畢可以查看報(bào)表。就是上面說(shuō)的幾個(gè)按鈕的用途。下面我們?cè)黾訏呙璨呗?#xff1a;Policies→Add

基本上只要寫“Name”即可，如果選擇了Visibility為Shared，則別人也可以利用你這個(gè)策略進(jìn)行掃描。填好后“Next”即可看到下面的界面：

我現(xiàn)在要掃描Windows主機(jī)，則在最上面選擇“Windows Credentials”即可，下面的可以為空。然后“Next”

選擇“Families”即可，就是你要掃描什么設(shè)備，實(shí)際上如果只掃描跑WEB服務(wù)的Windows主機(jī)，選擇下面四個(gè)就可以了。選擇好后“Next”，下一步可以設(shè)置數(shù)據(jù)庫(kù)信息，不寫了，直接“Submit”就完成。

添加完策略后，增加一個(gè)掃描任務(wù)，ScanS→Add

輸入掃描任務(wù)的名稱、選擇我們剛才建立的策略、輸入掃描目標(biāo)(IP或域名)后點(diǎn)“Launch Scan”，掃描任務(wù)就開(kāi)始了！親愛(ài)的，我們現(xiàn)在就正在掃描了！新手激動(dòng)？嘿嘿

一會(huì)兒就掃描完了，掃描過(guò)程中可以在“Scans”和“Reports”查看狀態(tài)，掃描完后就可以在Reports下面看到Status為“Completed”。

這時(shí)候雙擊“WEB Server -- YouXia”就可以查看報(bào)告了。

左側(cè)的“Download Report”可以下載評(píng)估報(bào)告；“Show Filters”可以設(shè)置過(guò)濾器，比如只顯示高級(jí)別報(bào)警，這樣就可以按照威脅級(jí)別進(jìn)行準(zhǔn)確篩選。

雙擊“Host”可以列出詳細(xì)的漏洞評(píng)估報(bào)告。如哪個(gè)端口存在威脅，級(jí)別是多少。你在這里依然可以雙擊，雙擊某個(gè)端口就可以顯示詳細(xì)信息。我在這里選擇1433。雙擊后可以列出有3個(gè)高級(jí)別報(bào)警。

雙擊某一個(gè)可以顯示詳情。

概要、描述、方案、CVSS、CVE編號(hào)等，當(dāng)然你可以選擇“Download Report”導(dǎo)出你生成的日志到本機(jī)保存，這樣更便于分析。

如何正確對(duì)待通用安全漏洞評(píng)分系統(tǒng)

通用漏洞評(píng)分系統(tǒng)(CVSS)誕生于2007年，是用于評(píng)估系統(tǒng)安全漏洞嚴(yán)重程度的一個(gè)行業(yè)公開(kāi)標(biāo)準(zhǔn)。CVSS現(xiàn)在已經(jīng)進(jìn)入第二個(gè)版本，第三版正在開(kāi)發(fā)中。它的主要目的是幫助人們建立衡量漏洞嚴(yán)重程度的標(biāo)準(zhǔn)，使得人們可以比較漏洞的嚴(yán)重程度，從而確定處理它們的優(yōu)先級(jí)。CVSS得分基于一系列維度上的測(cè)量結(jié)果，這些測(cè)量維度被稱為量度(Metrics)。漏洞的最終得分最大為10，最小為0。得分7~10的漏洞通常被認(rèn)為比較嚴(yán)重，得分在4~6.9之間的是中級(jí)漏洞，0~3.9的則是低級(jí)漏洞。

大多數(shù)商業(yè)化漏洞管理軟件都以CVSS為基礎(chǔ)，因此各企業(yè)看待漏洞的視角通常是從CVSS得分出發(fā)。盡管CVSS在快速進(jìn)行漏洞優(yōu)先級(jí)排序和甄別漏洞方面效果顯著，其排序速度往往基于企業(yè)對(duì)其進(jìn)行本地化配置的情況。

CVSS是強(qiáng)大的監(jiān)測(cè)工具，但進(jìn)行評(píng)分所依賴的所有量度都是很籠統(tǒng)的。為了達(dá)到最高的監(jiān)測(cè)效率，需要根據(jù)具體環(huán)境對(duì)CVSS進(jìn)行本地化配置。但現(xiàn)實(shí)是，大多數(shù)企業(yè)病不這樣做。它們直接使用Rapid7、Qualys、Tenable公司的信息，并不根據(jù)企業(yè)的特定環(huán)境和特定風(fēng)險(xiǎn)進(jìn)行專門配置。

舉例而言，Rapid7公司在談及CVSS時(shí)直率地表示，CVSS基本量度只評(píng)估漏洞的潛在風(fēng)險(xiǎn)，在評(píng)估過(guò)程中并不需要收集時(shí)間和環(huán)境數(shù)據(jù)。因此，通過(guò)CVSS基本量度得出的漏洞評(píng)分并未考慮到全公司上下的整體情況。

從嚴(yán)格意義上來(lái)講，CVSS評(píng)分并不代表具體事件可能發(fā)生的概率。它只代表了公司被入侵成功的概率。

CXOWare公司董事長(zhǎng)、《衡量與管理信息風(fēng)險(xiǎn)》一書合作者杰克·瓊斯(Jack Jones)在近期召開(kāi)的“信息安全世界”大會(huì)上發(fā)表了一些有關(guān)CVSS的批評(píng)言論。

CVSS是很有潛力的工具，但人們對(duì)它知之甚少。大多數(shù)公司使用CVSS的方式都不對(duì)。

瓊斯并不是CVSS的唯一批評(píng)者。有些人認(rèn)為，CVSS在將安全風(fēng)險(xiǎn)公式化方面做得并不好，而且其評(píng)估漏洞風(fēng)險(xiǎn)的過(guò)程可能過(guò)于復(fù)雜。

另一個(gè)問(wèn)題在于，CVSS通常被用于漏洞評(píng)分，進(jìn)而與風(fēng)險(xiǎn)度量模塊結(jié)合。結(jié)果是，這樣浪費(fèi)了資源，公司沒(méi)辦法甄別出最重要的安全問(wèn)題。

瓊斯對(duì)CVSS的主要疑慮來(lái)源于該系統(tǒng)的加權(quán)模式。CVSS的說(shuō)明文檔中并不包括確定權(quán)重分配的內(nèi)在邏輯，因此，用戶是在并不理解原理的前提下使用CVSS的。根據(jù)瓊斯的個(gè)人經(jīng)驗(yàn)，這些權(quán)重往往只適用于一小部分特殊情況，而對(duì)大多數(shù)安全事件沒(méi)有概括能力。如果考慮到描述上的歧義、限制范圍、應(yīng)用情景，在有些情況下得到的CVSS評(píng)分可能完全沒(méi)有意義。既然用戶都在使用這些權(quán)重值，開(kāi)發(fā)者應(yīng)當(dāng)至少提供一些合適的說(shuō)明，以讓用戶在知情狀態(tài)下決定何時(shí)使用這些權(quán)值。

設(shè)計(jì)和實(shí)現(xiàn)情況是評(píng)價(jià)CVSS這樣的統(tǒng)計(jì)學(xué)工具的唯一指標(biāo)。在近期發(fā)售的新書《統(tǒng)計(jì)學(xué)錯(cuò)了》中，作者寫道：即使是在那些最智慧的使用者手里，統(tǒng)計(jì)學(xué)也經(jīng)常是錯(cuò)的。科學(xué)家們大范圍地錯(cuò)誤使用統(tǒng)計(jì)學(xué)，令人吃驚。對(duì)于使用CVSS的用戶而言，我們應(yīng)該再次強(qiáng)調(diào)此書作者的觀點(diǎn)。

CVSS分?jǐn)?shù)計(jì)算器允許用戶對(duì)權(quán)重進(jìn)行自定義設(shè)置，以適應(yīng)用戶本公司的環(huán)境。不過(guò)，大多數(shù)公司還是使用標(biāo)準(zhǔn)的CVSS權(quán)重，并不會(huì)進(jìn)行手動(dòng)定制。事實(shí)上，每個(gè)公司都應(yīng)當(dāng)根據(jù)自身情況確定權(quán)重和分?jǐn)?shù)，而不是使用官方提供的默認(rèn)值。如果確認(rèn)權(quán)重的工作量過(guò)重，可以從定制CVSS環(huán)境和時(shí)間變量開(kāi)始進(jìn)行調(diào)整，并把對(duì)權(quán)重的調(diào)整放到之后來(lái)做。

CVSS是強(qiáng)大的工具，提供大量的評(píng)估維度。對(duì)那些想要快速獲取關(guān)于漏洞的簡(jiǎn)要評(píng)分的人而言，CVSS能夠勝任。但快速和簡(jiǎn)要的評(píng)估并不能滿足信息安全工作人員的需要。每個(gè)公司都應(yīng)該根據(jù)自身情況定制漏洞管理策略。概括性的評(píng)分可能有用，但無(wú)法被優(yōu)化。

采取以下措施來(lái)讓CVSS更有效：

·理解公司暴露在風(fēng)險(xiǎn)中的方式。只有這樣才能理解CVSS，并將其和漏洞管理項(xiàng)目綁定在一起。

·確定公司的損失暴露情況。最終，修補(bǔ)漏洞缺陷這類努力的效果還是要反映到減少公司損失上。應(yīng)當(dāng)將注意力集中在漏洞對(duì)業(yè)務(wù)的影響上。舉例而言，在面向Web的系統(tǒng)上找的敏感信息泄露漏洞的優(yōu)先級(jí)應(yīng)當(dāng)大于那些并不面向外界的漏洞。

·需要保證公司的漏洞評(píng)分并不基于CVSS默認(rèn)設(shè)置。應(yīng)當(dāng)改變CVSS的環(huán)境和時(shí)間變量，以獲得完整的分?jǐn)?shù)。

·如果公司同時(shí)遇到了兩個(gè)漏洞：一個(gè)CVSS得分很高，但還沒(méi)有被入侵;另一個(gè)CVSS得分很低，但已經(jīng)被入侵。公司應(yīng)當(dāng)如何抉擇呢?公司越能把CVSS和漏洞管理項(xiàng)目綁定在一起，就越容易做出這類決斷。盡管兩家公司都使用CVSS，其對(duì)CVSS的利用深度可能完全不同。對(duì)CVSS進(jìn)行定制，可以盡可能地發(fā)揮評(píng)級(jí)系統(tǒng)的功能，允許企業(yè)作出更明智的判斷。系統(tǒng)漏洞會(huì)影響到的范圍很大，包括系統(tǒng)本身及其支撐軟件，網(wǎng)絡(luò)客戶和服務(wù)器軟件，網(wǎng)絡(luò)路由器和安全防火墻等。

騰訊電腦管家可以修復(fù)windows操作系統(tǒng)漏洞，還可以智能篩選區(qū)分出高危漏洞補(bǔ)丁及功能性補(bǔ)丁，操作方法：騰訊電腦管家-工具箱-選擇“修復(fù)漏洞”。

總結(jié)

以上是生活随笔為你收集整理的cvss(cvss)的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。