转换NASL检查
自定义漏洞检查数据与Insight Platform不兼容dota2必威联赛
如果您是利用本文中描述的自定义漏洞检查功能的InsightVM订阅者,请注意,您创建的任何自定义检查以及从这些检查派生的任何扫描数据都将包含在内部安全控制台中并仅限于此。自定义检查及其扫描结果不会上游传送到洞察平台。dota2必威联赛这意味着它们将不存在于InsightVM基于云的功能和体验中,例如指示板,修复项目,目标和sla.
本教程假设您了解以下基本知识写作漏洞检查安全控制台中。
许多用户可能都熟悉Nessus攻击脚本语言(NASL)。这是一种漏洞测试开发语言,最初由Nessus引入,现在由OpenVAS支持。本教程展示如何将NASL检查转换为安全控制台检查。
从OpenVAS检查NASL
此脚本检查名为Alchemy Eye的监控产品中的远程命令执行漏洞。
alchemy_eye_http.nasl
1#2#剧本由Drew Hintz撰写(http://guh.nu)3.#4#它是基于雷诺·德雷森和HD摩尔编写的脚本5#6详细信息请参见Nessus脚本许可7#8如果(描述)9{10script_id (10818);11script_bugtraq_id (3599);12script_version(“$修订:38美元”);13script_cve_id (cve - 2001 - 0871);14name["english"] = "Alchemy Eye HTTP命令执行";15script_name(英语:名称(英语));16Alchemy Eye和Alchemy Network Monitor是Microsoft Windows的网络管理工具。该产品包含一个用于远程监视和控制的内置HTTP服务器。此HTTP服务器允许远程攻击者在服务器上运行任意命令。(摘自http://www.rapid7.com的安全公告。)1718解决方法:在Alchemy Eye中关闭HTTP访问,或者对Alchemy Eye进行认证。这两个选项都可以在炼金术眼选项中设置。1920.更多信息:http://www.securityfocus.com/archive/1/24340421危险因素:高”);2223script_description(英语:desc["英语"]);24summary["english"] = "确定是否可以使用炼金术眼执行任意命令";25script_summary(英语:总结["英语"]);26script_category (ACT_GATHER_INFO);27script_copyright(chinese:“This script is Copyright (C) 2001 H D Moore & Drew Hintz (http://guh.nu)”);28family["english"] = "CGI滥用";29script_family(英语:家庭["英语"]);30.script_dependencie(“find_service。nes”、“http_version.nasl”);31script_require_keys(“www /炼金术”);32script_require_ports(服务/ www, 80);33退出(0);34}3536包括(“http_func.inc”);37包括(“http_keepalive.inc”);3839端口= get_http_port(默认值:80);4041如果(! get_port_state(端口))退出(0);4243函数检查(要求)44{45Req = http_get(item: Req, port:port);46R = http_keepalive_send_recv(port:port, data:req);47if (r == NULL) exit(0); / /返回NULL48pat = "ACCOUNTS | COMPUTER";49If (pat >< r) {50security_hole(端口:端口);51退出(0);52}53返回(0);54}5556dir[0] = " /打印”;57dir[1] = " /空”;58dir [2] = " ";5960(d = 0; dir [d]; d = d + 1)61{62url =字符串(“/目录”,dir (d ], "/../../../../../../../../ WINNT / system32系统/ net.exe”);63检查(要求:url);64}
在安全控制台中写相同的检查
下面介绍如何用Security Console格式编写等价的检查。记住,Security Console将漏洞元数据与漏洞检查分开,因此创建两个文件:一个用于元数据,另一个用于实际检查。该漏洞有两个可供用户选择的备选解决方案,它们都被分类为工作区(相对于补丁)。此解决方案数据用于根据用户的首选项组装最有效的补救报告。
cmty-alchemy-eye-http-cmd-exec.xml
xml
1<?xml version = ' 1.0 '编码=“utf - 8”?>2<脆弱性id="cmty-alchemy-eye-http-cmd-exec"发表="2001-11-30"添加="2010-03-14"修改="2010-03-14"版本="2.0">3.<的名字>炼金术眼睛HTTP远程命令执行的名字>4<严重程度>9严重程度>5<一种总线标准严重程度="5"/>6<标签><标签>社区标签><标签>网络标签>标签>7<cvss>(AV:N/交流:l/非盟:N/C:P/我:P/一个:P)cvss>8<AlternateIds>9<id的名字="URL">http://www.rapid7.com/安全-中心/报告/R7-0001.jspid>10<id的名字="CVE">CVE-2001-0871id>11<id的名字="报价">3599id>12AlternateIds>13<描述>14<p>炼金术眼睛和炼金术网络监控是网络管理工具为微软窗户.的产品包含15一个建-在HTTP服务器为远程监控.这HTTP服务器允许任意命令运行16远程攻击者攻击服务器.p>17描述>18<解决方案>19<解决方案id="cmty-alchemy-eye-disable-http"时间="20米">20.<总结>禁用的炼金术眼睛HTTP服务器总结>21<解决方案>22<p>禁用HTTP访问完全通过首选项.你必须重新启动产品为这生效.p>23解决方案>24解决方案>25<解决方案id="cmty-alchemy-eye-http-require-auth"时间="30米">26<总结>配置HTTP身份验证总结>27<解决方案>28<p>需要HTTP身份验证通过首选项.你必须重新启动产品为这生效.这29是唯一的可能与版本2.6.x和晚些时候(早期版本没有身份验证选项).p>30.解决方案>31解决方案>32解决方案>33脆弱性>
cmty-alchemy-eye-http-cmd-exec.vck
记得逃离<代码class="prism-code language-text">|(pipe)字符。
xml
1<VulnerabilityCheckid="cmty-alchemy-eye-http-cmd-exec"范围="端点">2<NetworkService类型="HTTP | HTTPS">3.<产品的名字="炼金术眼睛"/>4NetworkService>5<HTTPCheck>6<HTTPRequest方法="得到">7<URI>/目录/../../../../WINNT/system32系统/净.exeURI>8<URI>/cgi-箱子/空/../../../../WINNT/system32系统/净.exeURI>9<URI>/cgi-箱子/打印/../../../../WINNT/system32系统/净.exeURI>10HTTPRequest>11<HTTPResponse代码="200">12<正则表达式>账户\|电脑正则表达式>13HTTPResponse>14HTTPCheck>15VulnerabilityCheck>
这个页面对你有帮助吗?