写漏洞检查

自定义漏洞检查数据与Insight平台不兼容dota2必威联赛

如果您是InsightVM订阅者,它利用本文中描述的自定义漏洞检查功能,请注意您创建的任何自定义检查以及从这些检查中派生的任何扫描数据都将包含在内部部署安全控制台中。自定义检查及其扫描结果不会在洞察平台上游行驶。dota2必威联赛这意味着它们在InsightVM的基于云的特征和经验中不存在,例如仪表板整治项目, 和目标和斯拉斯

这是在安全控制台中开发自定义漏洞检查的教程。有关此主题的更多信息,请参阅以下文章:

安全控制台包括使用简单XML格式创建复杂漏洞检查的框架。漏洞检查跨越安全控制台启动时由安全控制台解析的两个或多个文件。

组成漏洞检查的2种XML文件:

  • 漏洞描述符- 结尾的文件<代码class="prism-code language-text">.xml.扩展包含有关特定漏洞的信息(标题,描述,严重性,CVE ID,CVSS分数等)。
  • 漏洞检查- 结尾的文件<代码class="prism-code language-text">.vck包含多个测试的扩展,该测试在运行时编译并由安全控制台使用,以验证描述符中描述的漏洞的存在(或不存在)。

一个漏洞可以有几种不同类型的检查(或<代码class="prism-code language-text">.vckS)与它相关联。

存在第三个可选的XML文件类型:

  • 漏洞解决方案文件- 结尾的文件<代码class="prism-code language-text">.sol.扩展包含漏洞解决方案信息。该解决方案信息可以可选地包含在漏洞定义中<代码class="prism-code language-text">.xml.文件或分解成一个<代码class="prism-code language-text">.sol.以便重用其他漏洞。解决方案包含关于如何修复漏洞的信息。解决方案文件允许只编写解决方案一次,并在针对使用相同解决方案的许多漏洞所推荐的解决方案发生更改时在一个地方进行更新。
    • 你可以阅读更多有关此解决方案文件<一个HREF.="http.s://github.com/BrianWGray/cmty-nexpose-checks/wiki/Understanding-Fingerprints-and-Vulnerability-Checks">外部参考

创建您的第一个漏洞检查

在本文中,我们将重新实现来自尼克托的简单漏洞检查,因为它是许多人熟悉的开源工具。此示例基于添加到Nikto的Check for WordPress版本信息泄漏。让我们在安全控制台中进行同样的检查,以便您可以看到方法的差异。

尼克托支票是这样写的:

         
1
“006184”, “0”, “3”, “/ WP-链接-opml.php”, “GET”, “发电机= \” 的WordPress / “ ”“, ”“, ”“, ”“,” 这WordPress的脚本揭示了安装的版本。“””,‘’

在此检查中:

  • <代码class="prism-code language-text">006184是nikto漏洞ID
  • /wp-links-opml.php.是请求的URL路径
  • Generator = \“WordPress /在将表明此漏洞的存在(报价在Nikto的文件格式转义)的响应,以查找字符串

现在让我们在安全控制台中创建检查相同的漏洞 - 您会发现格式更复杂,并且写入更长的时间(尽管在RAPID7的内部我们有创作工具来加快工具来加速该过程。

创建漏洞描述符(.xml)文件

首先,我们创造了<代码class="prism-code language-text">.xml.描述符文件。文件看起来很复杂,但它实际上很容易解释。创建一个名为的文件<代码class="prism-code language-text">cmty-http-wordpress-wplinks-opml-info-leap.xml具有以下内容:

         
xml
1
<?xml版本='1.0'编码='utf-8'?>
2
<漏洞IDcmty-http-wordpress-wplinks-opml-info-leak发表2007-05-26添加2010-03-13修改的2010-03-13版本2.0>
3.
<姓名>WordPress版本信息通过WP泄漏-链接-OPML.PHP.姓名>
4
<标签>
5
<标签>WordPress标签>
6
<标签>网页标签>
7
<标签>社区标签>
8
标签>
9
<CVSS.>AVN/交流l/非盟N/CP/N/一个NCVSS.>
10.
<alterateids.>
11.
<ID姓名URL.>http.//博主安全/WordPress./工具/WP.-扫描仪ID>
12.
alterateids.>
13.
<描述>
14.
<p>版本WordPress博客软件可以通过请求泄露
15.
一个名为WP的文件-链接-OPML.PHP.这个页面输出链接信息OPML.
16.
格式OPML.
17.
<一个HREF.http://en.wikipedia.org/wiki/OPML>大纲处理器标记一个>
18.
用于在博客之间交换信息rss.聚集器p>
19.
描述>
20.
<解决方案>
21.
<解决方案IDcmty-http-wordpress-disable-wplinks-opml时间30m.>
22.
<概括>禁用访问WP-链接-OPML.PHP页面概括>
23.
<解决方法>
24.
<p>评估无论OPML.需要启用为了你的博客如果不是禁用访问WP-链接-OPML.PHP页面要么
25.
删除它或使用您的Web服务器的访问控制机制为了例子htaccess onApache要禁用http.使用权
26.
这个文件p>
27.
解决方法>
28.
解决方案>
29.
解决方案>
30.
漏洞>

让我们来解释一下这个文件的不同部分: