nt最近領(lǐng)土存在感很低？nt最近領(lǐng)土存在感很低，多半是廢了從布

SS特5紅顏101都是一打一個準(zhǔn)只有赤那V韌性十足看空投布局SS特5紅顏后方種地我以為赤那V沒這么2

漏洞掃描軟件Nessus怎么用？

裝完后，在菜單選擇：

當(dāng)然，你需要獲取一個“activation code”，這個在上圖點擊后的“主界面”獲取就OK了。

下一步，需要“Update Plugins”，簡單說就是升級插件，也就是漏洞庫升級。需要周期較長，需要等待，淡定的等待……可以在論壇灌灌水、可以在農(nóng)場偷偷菜！總之時間較長，需要淡定！

升級完后，點上圖的“Manage Users”，添加一個屬于你的賬戶。添加界面如下圖：

Nessus 4.2.0和上一個版本4.0.2最大的區(qū)別就是從C/S模式改為了B/S模式，就是說你訪問系統(tǒng)的時候可以直接通過瀏覽器，而不必要再安裝一個可執(zhí)行文 件，遠程的計算機也可以訪問。在上面的帳號添加好之后，打開瀏覽器，輸入你安裝Nessus主機的地址，主要是https方式而不是http方式訪問，端 口是8834，如我的訪問地址就是：:8834/，輸入剛添加的帳號和密碼就Ok了。

主界面上面有4個按鈕，分別是：Reports(報表)、Scans(掃描)、Policies(策略)、User(用戶)，其實也很簡單，一眼就能看出來有什么作用。在User我們能進行用戶的管理，增加、修改、刪除賬號，如：User→Add則會提示：

輸入相關(guān)信息即可，當(dāng)然你可以選擇這個賬號是否是Administrator(管理員)。

要進行安全評估，則首先要制定掃描策略，然后添加掃描范圍，才能進行掃描，掃描完畢可以查看報表。就是上面說的幾個按鈕的用途。下面我們增加掃描策略：Policies→Add

基本上只要寫“Name”即可，如果選擇了Visibility為Shared，則別人也可以利用你這個策略進行掃描。填好后“Next”即可看到下面的界面：

我現(xiàn)在要掃描Windows主機，則在最上面選擇“Windows Credentials”即可，下面的可以為空。然后“Next”

選擇“Families”即可，就是你要掃描什么設(shè)備，實際上如果只掃描跑WEB服務(wù)的Windows主機，選擇下面四個就可以了。選擇好后“Next”，下一步可以設(shè)置數(shù)據(jù)庫信息，不寫了，直接“Submit”就完成。

添加完策略后，增加一個掃描任務(wù)，ScanS→Add

輸入掃描任務(wù)的名稱、選擇我們剛才建立的策略、輸入掃描目標(biāo)(IP或域名)后點“Launch Scan”，掃描任務(wù)就開始了！親愛的，我們現(xiàn)在就正在掃描了！新手激動？嘿嘿

一會兒就掃描完了，掃描過程中可以在“Scans”和“Reports”查看狀態(tài)，掃描完后就可以在Reports下面看到Status為“Completed”。

這時候雙擊“WEB Server -- YouXia”就可以查看報告了。

左側(cè)的“Download Report”可以下載評估報告；“Show Filters”可以設(shè)置過濾器，比如只顯示高級別報警，這樣就可以按照威脅級別進行準(zhǔn)確篩選。

雙擊“Host”可以列出詳細的漏洞評估報告。如哪個端口存在威脅，級別是多少。你在這里依然可以雙擊，雙擊某個端口就可以顯示詳細信息。我在這里選擇1433。雙擊后可以列出有3個高級別報警。

雙擊某一個可以顯示詳情。

概要、描述、方案、CVSS、CVE編號等，當(dāng)然你可以選擇“Download Report”導(dǎo)出你生成的日志到本機保存，這樣更便于分析。

如何正確對待通用安全漏洞評分系統(tǒng)

通用漏洞評分系統(tǒng)(CVSS)誕生于2007年，是用于評估系統(tǒng)安全漏洞嚴重程度的一個行業(yè)公開標(biāo)準(zhǔn)。CVSS現(xiàn)在已經(jīng)進入第二個版本，第三版正在開發(fā)中。它的主要目的是幫助人們建立衡量漏洞嚴重程度的標(biāo)準(zhǔn)，使得人們可以比較漏洞的嚴重程度，從而確定處理它們的優(yōu)先級。CVSS得分基于一系列維度上的測量結(jié)果，這些測量維度被稱為量度(Metrics)。漏洞的最終得分最大為10，最小為0。得分7~10的漏洞通常被認為比較嚴重，得分在4~6.9之間的是中級漏洞，0~3.9的則是低級漏洞。

大多數(shù)商業(yè)化漏洞管理軟件都以CVSS為基礎(chǔ)，因此各企業(yè)看待漏洞的視角通常是從CVSS得分出發(fā)。盡管CVSS在快速進行漏洞優(yōu)先級排序和甄別漏洞方面效果顯著，其排序速度往往基于企業(yè)對其進行本地化配置的情況。

CVSS是強大的監(jiān)測工具，但進行評分所依賴的所有量度都是很籠統(tǒng)的。為了達到最高的監(jiān)測效率，需要根據(jù)具體環(huán)境對CVSS進行本地化配置。但現(xiàn)實是，大多數(shù)企業(yè)病不這樣做。它們直接使用Rapid7、Qualys、Tenable公司的信息，并不根據(jù)企業(yè)的特定環(huán)境和特定風(fēng)險進行專門配置。

舉例而言，Rapid7公司在談及CVSS時直率地表示，CVSS基本量度只評估漏洞的潛在風(fēng)險，在評估過程中并不需要收集時間和環(huán)境數(shù)據(jù)。因此，通過CVSS基本量度得出的漏洞評分并未考慮到全公司上下的整體情況。

從嚴格意義上來講，CVSS評分并不代表具體事件可能發(fā)生的概率。它只代表了公司被入侵成功的概率。

CXOWare公司董事長、《衡量與管理信息風(fēng)險》一書合作者杰克·瓊斯(Jack Jones)在近期召開的“信息安全世界”大會上發(fā)表了一些有關(guān)CVSS的批評言論。

CVSS是很有潛力的工具，但人們對它知之甚少。大多數(shù)公司使用CVSS的方式都不對。

瓊斯并不是CVSS的唯一批評者。有些人認為，CVSS在將安全風(fēng)險公式化方面做得并不好，而且其評估漏洞風(fēng)險的過程可能過于復(fù)雜。

另一個問題在于，CVSS通常被用于漏洞評分，進而與風(fēng)險度量模塊結(jié)合。結(jié)果是，這樣浪費了資源，公司沒辦法甄別出最重要的安全問題。

瓊斯對CVSS的主要疑慮來源于該系統(tǒng)的加權(quán)模式。CVSS的說明文檔中并不包括確定權(quán)重分配的內(nèi)在邏輯，因此，用戶是在并不理解原理的前提下使用CVSS的。根據(jù)瓊斯的個人經(jīng)驗，這些權(quán)重往往只適用于一小部分特殊情況，而對大多數(shù)安全事件沒有概括能力。如果考慮到描述上的歧義、限制范圍、應(yīng)用情景，在有些情況下得到的CVSS評分可能完全沒有意義。既然用戶都在使用這些權(quán)重值，開發(fā)者應(yīng)當(dāng)至少提供一些合適的說明，以讓用戶在知情狀態(tài)下決定何時使用這些權(quán)值。

設(shè)計和實現(xiàn)情況是評價CVSS這樣的統(tǒng)計學(xué)工具的唯一指標(biāo)。在近期發(fā)售的新書《統(tǒng)計學(xué)錯了》中，作者寫道：即使是在那些最智慧的使用者手里，統(tǒng)計學(xué)也經(jīng)常是錯的。科學(xué)家們大范圍地錯誤使用統(tǒng)計學(xué)，令人吃驚。對于使用CVSS的用戶而言，我們應(yīng)該再次強調(diào)此書作者的觀點。

CVSS分數(shù)計算器允許用戶對權(quán)重進行自定義設(shè)置，以適應(yīng)用戶本公司的環(huán)境。不過，大多數(shù)公司還是使用標(biāo)準(zhǔn)的CVSS權(quán)重，并不會進行手動定制。事實上，每個公司都應(yīng)當(dāng)根據(jù)自身情況確定權(quán)重和分數(shù)，而不是使用官方提供的默認值。如果確認權(quán)重的工作量過重，可以從定制CVSS環(huán)境和時間變量開始進行調(diào)整，并把對權(quán)重的調(diào)整放到之后來做。

CVSS是強大的工具，提供大量的評估維度。對那些想要快速獲取關(guān)于漏洞的簡要評分的人而言，CVSS能夠勝任。但快速和簡要的評估并不能滿足信息安全工作人員的需要。每個公司都應(yīng)該根據(jù)自身情況定制漏洞管理策略。概括性的評分可能有用，但無法被優(yōu)化。

采取以下措施來讓CVSS更有效：

·理解公司暴露在風(fēng)險中的方式。只有這樣才能理解CVSS，并將其和漏洞管理項目綁定在一起。

·確定公司的損失暴露情況。最終，修補漏洞缺陷這類努力的效果還是要反映到減少公司損失上。應(yīng)當(dāng)將注意力集中在漏洞對業(yè)務(wù)的影響上。舉例而言，在面向Web的系統(tǒng)上找的敏感信息泄露漏洞的優(yōu)先級應(yīng)當(dāng)大于那些并不面向外界的漏洞。

·需要保證公司的漏洞評分并不基于CVSS默認設(shè)置。應(yīng)當(dāng)改變CVSS的環(huán)境和時間變量，以獲得完整的分數(shù)。

·如果公司同時遇到了兩個漏洞：一個CVSS得分很高，但還沒有被入侵;另一個CVSS得分很低，但已經(jīng)被入侵。公司應(yīng)當(dāng)如何抉擇呢?公司越能把CVSS和漏洞管理項目綁定在一起，就越容易做出這類決斷。盡管兩家公司都使用CVSS，其對CVSS的利用深度可能完全不同。對CVSS進行定制，可以盡可能地發(fā)揮評級系統(tǒng)的功能，允許企業(yè)作出更明智的判斷。系統(tǒng)漏洞會影響到的范圍很大，包括系統(tǒng)本身及其支撐軟件，網(wǎng)絡(luò)客戶和服務(wù)器軟件，網(wǎng)絡(luò)路由器和安全防火墻等。

騰訊電腦管家可以修復(fù)windows操作系統(tǒng)漏洞，還可以智能篩選區(qū)分出高危漏洞補丁及功能性補丁，操作方法：騰訊電腦管家-工具箱-選擇“修復(fù)漏洞”。

總結(jié)

以上是生活随笔為你收集整理的cvss(cvss)的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。