2023版漏洞評估工具Top10（含容器方向）

作者：柚子 2023-02-16 11:35:51

考慮到易用性，本文僅推薦OSV-Scanner、OpenSCAP、ZAP這幾款支持或包含一部分容器安全掃描功能的開源工具。

對于發(fā)現(xiàn)資產(chǎn)中已知漏洞、配置不當(dāng)?shù)葐栴}的工具，大家習(xí)慣性稱之為“漏洞掃描”工具，但隨著技術(shù)演進(jìn)，很多工具越來越智能，逐漸具備分析總結(jié)能力，因此將它們稱為“漏洞評估”工具似乎更準(zhǔn)確。

大多數(shù)漏洞評估工具都能覆蓋常規(guī)漏洞，例如OWASP Top10，但一般都各有所長。常見的區(qū)分維度包括部署靈活性、掃描速度、掃描準(zhǔn)確度以及與流程管理、代碼開發(fā)等平臺的整合性。如果不考慮license的限制和成本，很多團(tuán)隊(duì)都會選擇同時部署多款工具。本文推薦的開源工具能與主流的流程管理平臺集成，輸出包含優(yōu)先級的處置分析報告，而且這些工具仍有團(tuán)隊(duì)在積極維護(hù)。

另外，針對容器方向的漏洞評估工具，盡管有一些新工具出現(xiàn)，如Anchore,Clair?, Dagda，Trivy，但大量用戶反映這些工具存在功能不全、整合性差等問題，因此考慮到易用性，本文僅推薦OSV-Scanner、OpenSCAP、ZAP這幾款支持或包含一部分容器安全掃描功能的開源工具。

OSV-Scanner（開源代碼掃描）

傳送門：??OSV-Scanner??

OSV Scanner由谷歌團(tuán)隊(duì)開發(fā)，發(fā)布于2022 年 12 月 13 日。開源市場也不乏能有效掃描靜態(tài)代碼漏洞的SCA（軟件成分分析）工具。但作為“新秀”，OSV從OSV.dev 開源漏洞數(shù)據(jù)庫中提取并適用于不同的生態(tài)系統(tǒng)，其漏洞來源和支持的語言更加廣泛，可以很好地為DevOps 團(tuán)隊(duì)降本增效。

主要功能：

依賴項(xiàng)和漏洞定位
以JSON格式存儲受影響版本的信息，便于開發(fā)集成
掃描目錄、軟件物料清單（SBOM）、鎖定文件、基于Debian的docker鏡像或在Docker容器中運(yùn)行的軟件

優(yōu)：

漏洞提取來源廣泛，包括Apine, Android, crates.io, Debian, Go, Linux, Maven, npm, NuGet, OSS-Fuzz, Packagist, PyPl, RubyGems等等
報告結(jié)果精煉，節(jié)約處置時間
可以根據(jù)漏洞ID忽略漏洞，提高處置效率
目前谷歌仍在積極開發(fā)中，可以期待更多與時俱進(jìn)的新功能

劣：

與開發(fā)者工作流集成、發(fā)現(xiàn)C/C++漏洞等功能不完善；

在某些編程語言的漏洞檢測中可能弱于一些早期的開源SCA工具：

Bandit: Python
Brakeman: Ruby on Rails
VisualCodeGrepper: C, C++, C#, VP, PHP, Java, PL/SQL, Cobol

Sqlmap（數(shù)據(jù)庫掃描）

傳送門：??Sqlmap??

一些DevOps團(tuán)隊(duì)會在后端數(shù)據(jù)庫與代碼hook之前對數(shù)據(jù)庫進(jìn)行安全掃描。Sqlmap就是其中的代表工具。

主要功能：

自動識別密碼哈希值
用Python開發(fā)，可以在任何有Python解釋器的系統(tǒng)上運(yùn)行
可以通過DBMS憑證、IP地址、端口和數(shù)據(jù)庫名稱直接連接到數(shù)據(jù)庫進(jìn)行測試
完全支持的數(shù)據(jù)庫管理系統(tǒng)達(dá)35個以上，包括MySQL、Oracle、Postgre SQL、Microsoft SQL Server、IBM DB2、Sybase、SAP MaxDB、Microsoft Access、Amazon Redshift、Apache Ignite等等
具備六類SQL注入技術(shù)：布爾盲注、時間盲注、報錯盲注、聯(lián)合查詢注入、堆查詢注入和帶外注入

優(yōu)：

支持密碼爆破
能搜索特定的數(shù)據(jù)庫名和表名
支持執(zhí)行任意命令并檢索數(shù)據(jù)庫服務(wù)器底層操作系統(tǒng)上的標(biāo)準(zhǔn)輸出

劣：

命令行工具沒有圖形用戶界面
過于專業(yè)，需要數(shù)據(jù)庫方面的專業(yè)知識才能有效使用

Wapiti（SQL注入檢測）

傳送門：??Wapiti??

Wapiti是一款針對應(yīng)用的黑盒掃描工具，采用fuzzing技術(shù)，在腳本中注入payload來發(fā)現(xiàn)常見漏洞。

主要功能：

支持GET和POST的HTTP攻擊方法
針對SQL注入（SQLi）、XPath注入、跨站腳本（XSS）、文件泄露、XXE注入、文件夾和文件枚舉等的模塊測試
支持HTTP、HTTPS和SOCKS5
通過Basic、Digest、NTLM或GET/POST對登錄表單進(jìn)行認(rèn)證
可掃描域、文件夾、頁面和URL

優(yōu)：

覆蓋漏洞類型更廣
測試各類潛在漏洞
不少測試顯示W(wǎng)apiti比其他開源工具（如ZAP）能檢測到更多SQL注入和盲注漏洞

劣：

命令行工具無圖形界面
熟練操作需要大量專業(yè)知識背景

ZAP (OWASP Zed Attack Proxy) （XSS檢測）

傳送門：??ZAP??

OWASP的Zed攻擊代理（ZAP）在瀏覽器和web應(yīng)用之間，以代理身份攔截請求，并通過模擬用戶和黑客行為，如修改內(nèi)容、轉(zhuǎn)發(fā)數(shù)據(jù)包等進(jìn)行安全測試。

主要功能：

支持主流操作系統(tǒng)和Docker
能快速啟動Docker包掃描
支持自動化框架
支持全量API
支持手動或自動

優(yōu)：

OWASP團(tuán)隊(duì)仍在積極維護(hù)
命令行界面有圖形界面
完善的學(xué)習(xí)曲線和操作文檔
適合各類水平用戶
XSS漏洞檢測表現(xiàn)突出
支持fuzzing測試
ZAP在滲透測試從業(yè)者中非常流行，因此熟悉ZAP有利于從攻擊角度發(fā)現(xiàn)漏洞

劣：

有些功能需裝插件
需要一些專業(yè)知識
誤報比很多商業(yè)產(chǎn)品高

CloudSploit（云資源安全掃描）

傳送門：??CloudSploit??

Aqua公司開源了CloudSploit的核心掃描引擎，供廣大用戶下載、更改和使用。CloudSploit支持按需掃描也可配置為持續(xù)運(yùn)行，并及時告警。

主要功能：

采用RESTful API
API可以從命令行、腳本或構(gòu)建系統(tǒng)（Jenkins、CircleCL、AWS CodeBuild等）調(diào)用
讀寫控制器可以為每個API密鑰提供特定權(quán)限
每個API調(diào)用都是可以單獨(dú)追蹤的
對AWS、Azure和Google云進(jìn)行持續(xù)的CIS基準(zhǔn)審計(jì)
持續(xù)掃描可以在云基礎(chǔ)設(shè)施發(fā)生變化時發(fā)出告警，這些變化可能存在安全隱患，如安全組更改、出現(xiàn)新的受信任的SSH密鑰、MFA設(shè)備停用、刪除日志等。

優(yōu)：

掃描結(jié)果實(shí)時
通過HMAC-SHA256簽名實(shí)現(xiàn)API密鑰認(rèn)證
秒級掃描95種以上的安全風(fēng)險類型
直觀的web界面
支持HIPAA和PCI DSS合規(guī)框架
支持通過Slack、Splunk、OpsGenie、Amazon SNS、郵件等發(fā)送告警

劣：

無法通過GitHub獲取
自動推送、一些報告工具和一些整合功能可能只在付費(fèi)產(chǎn)品中提供

Firmwalker （物聯(lián)網(wǎng)）

傳送門：??Firmwalker??

有些開源團(tuán)隊(duì)開發(fā)了很多安全工具來掃描網(wǎng)絡(luò)設(shè)備和物聯(lián)網(wǎng)（IoT）的固件，但漏洞掃描器比較少。Firmwalker可以搜索提取或裝好的固件，并報告潛在漏洞。

主要功能：

可搜索SSl相關(guān)文件和etc/ssl目錄
可搜索配置、腳本和pin文件
能識別admin、password和remote等關(guān)鍵詞
可搜索URL、電子郵件地址和IP地址

優(yōu)：

對物聯(lián)網(wǎng)、網(wǎng)絡(luò)、OT和其他固件進(jìn)行安全審計(jì)
可找到異常文件、嵌入式密碼或隱藏的URL
支持以bash腳本運(yùn)行

劣：

需要一些編程知識才能有效使用
沒有圖形用戶界面
目前對Shodan API的支持仍在實(shí)驗(yàn)階段

Nikto2（Web Server）

傳送門：??Nikto2??

Nikto2是一個開源的web server掃描器，可發(fā)現(xiàn)風(fēng)險文件、程序、錯誤配置。用戶也可在Kali Linux訪問Nikto。

主要功能：

覆蓋6700余種風(fēng)險文件和程序
覆蓋1250余個舊服務(wù)器版本和270種版本問題
支持檢測多種索引文件、HTTP server options
驗(yàn)證已安裝的web服務(wù)器和軟件
支持憑證破解
具備降低誤報技術(shù)
報告格式支持TST、XML、HTML、NBE或CSV

優(yōu)：

小巧輕便但功能強(qiáng)大
支持文件的輸入和輸出
掃描項(xiàng)目和插件經(jīng)常更新（自動更新）
對web服務(wù)器的常見問題進(jìn)行標(biāo)記
SSL支持Unix和Windows操作系統(tǒng)，支持HTTP代理
可選擇部署編碼技術(shù)，用于入侵檢測系統(tǒng)（IDS）的繞過和測試

劣：

沒有界面，只有命令行
過于具體，初學(xué)者可能會困惑
搜索功能比一些商業(yè)產(chǎn)品略遜色
全面掃描需耗時45分鐘以上

OpenSCAP（合規(guī)類）

傳送門：??OpenSCAP??

OpenSCAP是一個Linux平臺的開源框架，對標(biāo)美國國家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）維護(hù)的安全內(nèi)容自動化協(xié)議（SCAP），實(shí)施合規(guī)評估。OpenSCAP支持掃描web應(yīng)用、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、數(shù)據(jù)庫和主機(jī)。與絕大部分CVE掃描器不同，OpenSCAP根據(jù)SCAP的標(biāo)準(zhǔn)執(zhí)行安全測試。

主要功能：

漏洞評估
訪問公共漏洞數(shù)據(jù)庫
OpenSCAP Base提供經(jīng)NIST認(rèn)證的命令行掃描工具，以及圖形用戶界面便于使用
OpenSCAP Daemon可根據(jù)SCAP標(biāo)準(zhǔn)對基礎(chǔ)設(shè)施進(jìn)行持續(xù)掃描
其他OpenSCAP工具提供桌面掃描、掃描結(jié)果匯總等功能
支持整合系統(tǒng)管理解決方案，如Red Hat Satellite 6、RH Access Insights等
Atomic Scan選項(xiàng)可掃描容器的安全漏洞和合規(guī)問題。

優(yōu)：

快速發(fā)現(xiàn)安全問題并即時糾正
獲Red Hat和其他開源廠商的大力支持
結(jié)合了安全漏洞和合規(guī)性掃描
可掃描docker鏡像

劣：

學(xué)習(xí)難度高于同類工具
OpenSCAP包含多款工具，更為復(fù)雜
用戶首先需了解與自身相關(guān)的政策條款
很多工具只能在Linux上運(yùn)行，有些甚至只能在特定的Linux發(fā)行版上運(yùn)行

OpenVAS （終端和網(wǎng)絡(luò)）

傳送門：??OpenVAS??

Nessus是Tenable發(fā)布的一款全球領(lǐng)先的漏洞評估產(chǎn)品。而OpenVAS是Nessus的一個開源分支，功能豐富，漏洞來源廣泛，可對傳統(tǒng)端點(diǎn)和網(wǎng)絡(luò)進(jìn)行大規(guī)模的漏洞評估。

主要功能：

發(fā)現(xiàn)系統(tǒng)的已知漏洞和缺失補(bǔ)丁
具備web管理控制臺
可安裝在任何本地或云服務(wù)器
具備漏洞分析能力，輸出如何修復(fù)漏洞或攻擊者如何利用該漏洞等信息

優(yōu)：

Greenbone積極維護(hù)中
覆蓋很多CVE漏洞
定期更新漏洞數(shù)據(jù)庫
已形成大型社區(qū)，供用戶交流
可隨著企業(yè)發(fā)展從社區(qū)版升級到Greenbone企業(yè)版或Greenbone云服務(wù)

劣：

需要一定專業(yè)知識。
大量并發(fā)掃描會使程序崩潰
沒有策略管理
Greenbone社區(qū)版只掃描基本的端點(diǎn)資產(chǎn)或家庭應(yīng)用產(chǎn)品，如Ubuntu Linux，MS Office等（掃描企業(yè)設(shè)備或獲取策略權(quán)限需升級到付費(fèi)的Greenbone企業(yè)版）