Day-185-漏洞扫描技术详解

# Day 213: 漏洞扫描技术详解

> 渗透测试系列第 3 天 | 预计阅读时间：55 分钟 | 难度：★★★★☆

---

## 清单 目录

1. [漏洞扫描概述](#漏洞扫描概述)
2. [漏洞扫描与渗透测试的关系](#漏洞扫描与渗透测试的关系)
3. [漏洞扫描原理](#漏洞扫描原理)
4. [Nmap 漏洞扫描](#nmap 漏洞扫描)
5. [Nessus 漏洞扫描器](#nessus 漏洞扫描器)
6. [OpenVAS 开源扫描器](#openvas 开源扫描器)
7. [Nuclei 现代化扫描器](#nuclei 现代化扫描器)
8. [Web 应用漏洞扫描](#web 应用漏洞扫描)
9. [数据库漏洞扫描](#数据库漏洞扫描)
10. [漏洞扫描实战案例](#漏洞扫描实战案例)
11. [漏洞扫描最佳实践](#漏洞扫描最佳实践)
12. [总结与思考](#总结与思考)
13. [参考资料](#参考资料)

---

## 漏洞扫描概述

### 什么是漏洞扫描

漏洞扫描（Vulnerability Scanning）是使用自动化工具对目标系统进行系统性检测，识别已知安全漏洞、配置错误和弱点的过程。

**漏洞扫描的核心定义**：

```
┌─────────────────────────────────────────────────────────────┐
│                    漏洞扫描定义                             │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  漏洞扫描 = 资产发现 + 漏洞检测 + 风险评估 + 报告生成      │
│                                                             │
│  关键要素：                                                 │
│  1. 资产发现（Asset Discovery）                             │
│     - 识别存活主机                                          │
│     - 发现开放端口                                          │
│     - 识别运行服务                                          │
│     - 识别操作系统                                          │
│                                                             │
│  2. 漏洞检测（Vulnerability Detection）                     │
│     - 匹配已知漏洞（CVE）                                   │
│     - 检测配置错误                                          │
│     - 识别弱密码策略                                        │
│     - 发现补丁缺失                                          │
│                                                             │
│  3. 风险评估（Risk Assessment）                             │
│     - CVSS 评分                                             │
│     - 可利用性分析                                          │
│     - 业务影响评估                                          │
│                                                             │
│  4. 报告生成（Reporting）                                   │
│     - 漏洞清单                                              │
│     - 修复建议                                              │
│     - 合规性报告                                            │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

### 漏洞扫描类型

**按扫描方式分类**：

```
┌─────────────────────────────────────────────────────────────┐
│                  漏洞扫描分类                               │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  主动扫描（Active Scanning）                                │
│  ├── 定义：直接向目标发送探测包                            │
│  ├── 优势：准确、详细                                      │
│  ├── 劣势：可能被检测、影响性能                            │
│  ├── 工具：Nmap、Nessus、OpenVAS                           │
│  └── 适用：授权测试、内部评估                              │
│                                                             │
│  被动扫描（Passive Scanning）                               │
│  ├── 定义：监听网络流量分析漏洞                            │
│  ├── 优势：隐蔽、不影响业务                                │
│  ├── 劣势：覆盖有限、依赖流量                              │
│  ├── 工具：Nessus Passive、PassiveTotal                    │
│  └── 适用：持续监控、生产环境                              │
│                                                             │
│  认证扫描（Credentialed Scanning）                          │
│  ├── 定义：使用系统凭证进行深度扫描                        │
│  ├── 优势：发现本地漏洞、配置问题                          │
│  ├── 劣势：需要凭证、权限要求高                            │
│  ├── 检测：补丁状态、注册表、本地策略                      │
│  └── 适用：内部系统、深度评估                              │
│                                                             │
│  非认证扫描（Non-Credentialed Scanning）                    │
│  ├── 定义：无需凭证的外部扫描                              │
│  ├── 优势：简单、快速                                      │
│  ├── 劣势：只能发现外部漏洞                                │
│  ├── 检测：开放端口、服务版本、外部漏洞                    │
│  └── 适用：外部评估、初步扫描                              │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

**按扫描目标分类**：

| 类型 | 目标 | 工具 |
|------|------|------|
| **网络扫描** | 网络设备、服务器 | Nmap、Nessus |
| **Web 扫描** | Web 应用、API | Burp Suite、OWASP ZAP、Nuclei |
| **数据库扫描** | 数据库系统 | SQLMap、DbProtect |
| **主机扫描** | 操作系统配置 | Lynis、CIS-CAT |
| **容器扫描** | Docker、K8s | Trivy、Clair |
| **云扫描** | 云资源配置 | Prowler、ScoutSuite |

---

## 漏洞扫描与渗透测试的关系

### 区别与联系

很多人混淆漏洞扫描和渗透测试，两者有本质区别：

```
┌─────────────────────────────────────────────────────────────┐
│            漏洞扫描 vs 渗透测试                             │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  漏洞扫描：                                                 │
│  ├── 目标：发现尽可能多的漏洞                              │
│  ├── 方法：自动化扫描                                      │
│  ├── 深度：表面检测                                        │
│  ├── 误报：较高（需人工验证）                              │
│  ├── 时间：数小时                                          │
│  ├── 成本：低                                              │
│  └── 输出：漏洞列表 + 修复建议                             │
│                                                             │
│  渗透测试：                                                 │
│  ├── 目标：验证漏洞可利用性，评估业务影响                  │
│  ├── 方法：人工分析 + 工具 + 创意                          │
│  ├── 深度：深度利用，链式攻击                              │
│  ├── 误报：低（确认可利用）                                │
│  ├── 时间：数天至数周                                      │
│  ├── 成本：高                                              │
│  └── 输出：攻击路径 + 业务影响分析 + 完整报告              │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

**我的观点**：

```
漏洞扫描是渗透测试的前置步骤，但不能替代渗透测试。

最佳实践流程：
1. 漏洞扫描 → 发现潜在漏洞
2. 人工分析 → 排除误报、评估优先级
3. 渗透测试 → 验证关键漏洞、评估业务影响
4. 修复建议 → 提供可执行的修复方案
5. 复测验证 → 确认修复效果

企业安全建设：
- 漏洞扫描：每周/每月定期执行（持续监控）
- 渗透测试：每年 1-2 次（深度评估）
```

### 漏洞扫描在渗透测试中的位置

```
┌─────────────────────────────────────────────────────────────┐
│          漏洞扫描在 PTES 流程中的位置                       │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  PTES 阶段 1: 前期交互                                      │
│      ↓                                                      │
│  PTES 阶段 2: 情报收集                                      │
│      ↓                                                      │
│  PTES 阶段 3: 威胁建模                                      │
│      ↓                                                      │
│  PTES 阶段 4: 漏洞分析 ←── 漏洞扫描在此阶段                 │
│      ├── 自动化扫描（Nessus、Nuclei）                      │
│      ├── 手动验证（排除误报）                              │
│      └── 优先级排序（CVSS 评分）                           │
│      ↓                                                      │
│  PTES 阶段 5: 漏洞利用                                      │
│      ↓                                                      │
│  PTES 阶段 6: 后渗透攻击                                    │
│      ↓                                                      │
│  PTES 阶段 7: 报告                                          │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

---

## 漏洞扫描原理

### 扫描技术原理

**端口扫描技术**：

```
┌─────────────────────────────────────────────────────────────┐
│                  端口扫描技术                               │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  TCP SYN 扫描（半开放扫描）                                 │
│  ├── 过程：发送 SYN → 收到 SYN/ACK → 发送 RST              │
│  ├── 特点：不建立完整连接、速度快                          │
│  ├── 检测：可能被 IDS 检测                                  │
│  └── 命令：nmap -sS target                                 │
│                                                             │
│  TCP Connect 扫描（全连接扫描）                             │
│  ├── 过程：三次握手建立完整连接                            │
│  ├── 特点：准确、但慢、易被检测                            │
│  └── 命令：nmap -sT target                                 │
│                                                             │
│  UDP 扫描                                                   │
│  ├── 过程：发送 UDP 包 → 分析响应                          │
│  ├── 特点：慢（UDP 无连接）、易被过滤                      │
│  └── 命令：nmap -sU target                                 │
│                                                             │
│  FIN/XMAS/NULL 扫描                                         │
│  ├── 过程：发送异常标志位包                                │
│  ├── 特点：绕过简单防火墙                                  │
│  └── 命令：nmap -sF/-sX/-sN target                         │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

**漏洞检测原理**：

```
┌─────────────────────────────────────────────────────────────┐
│                  漏洞检测原理                               │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  1. 版本匹配（Version Matching）                            │
│     ├── 识别服务版本（如：Apache 2.4.49）                   │
│     ├── 匹配 CVE 数据库                                     │
│     ├── 优点：快速                                          │
│     └── 缺点：可能误报（打了补丁但未改版本号）              │
│                                                             │
│  2. 特征检测（Signature Detection）                         │
│     ├── 发送特定探测包                                      │
│     ├── 匹配响应特征                                        │
│     ├── 优点：准确                                          │
│     └── 缺点：需要持续更新特征库                            │
│                                                             │
│  3. 行为分析（Behavior Analysis）                           │
│     ├── 发送异常输入                                        │
│     ├── 观察系统行为                                        │
│     ├── 优点：可发现未知漏洞                                │
│     └── 缺点：可能影响系统稳定性                            │
│                                                             │
│  4. 凭证验证（Credentialed Verification）                   │
│     ├── 登录系统检查配置                                    │
│     ├── 检查补丁状态                                        │
│     ├── 优点：最准确                                        │
│     └── 缺点：需要凭证                                      │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

### CVSS 评分系统

CVSS（Common Vulnerability Scoring System）是漏洞严重性评分标准。

**CVSS 3.1 指标**：

```
┌─────────────────────────────────────────────────────────────┐
│              CVSS 3.1 评分指标                              │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  基础指标（Base Metrics）- 漏洞固有特性                    │
│  ├── 攻击向量（AV）                                         │
│  │   ├── Network (N) - 网络攻击：0.85                      │
│  │   ├── Adjacent (A) - 相邻网络：0.62                     │
│  │   ├── Local (L) - 本地：0.55                            │
│  │   └── Physical (P) - 物理：0.20                         │
│  ├── 攻击复杂度（AC）                                       │
│  │   ├── Low (L) - 低复杂度：0.77                          │
│  │   └── High (H) - 高复杂度：0.44                         │
│  ├── 权限要求（PR）                                         │
│  │   ├── None (N) - 无需权限：0.85                         │
│  │   ├── Low (L) - 低权限：0.62                            │
│  │   └── High (H) - 高权限：0.27                           │
│  ├── 用户交互（UI）                                         │
│  │   ├── None (N) - 无需交互：0.85                         │
│  │   └── Required (R) - 需交互：0.62                       │
│  ├── 机密性影响（C）                                        │
│  │   ├── None (N): 0.00                                    │
│  │   ├── Low (L): 0.22                                     │
│  │   └── High (H): 0.56                                    │
│  ├── 完整性影响（I）                                        │
│  │   ├── None (N): 0.00                                    │
│  │   ├── Low (L): 0.22                                     │
│  │   └── High (H): 0.56                                    │
│  └── 可用性影响（A）                                        │
│      ├── None (N): 0.00                                    │
│      ├── Low (L): 0.22                                     │
│      └── High (H): 0.56                                    │
│                                                             │
│  评分等级：                                                 │
│  ├── 0.0: None（无）                                       │
│  ├── 0.1-3.9: Low（低危）                                  │
│  ├── 4.0-6.9: Medium（中危）                               │
│  ├── 7.0-8.9: High（高危）                                 │
│  └── 9.0-10.0: Critical（严重）                            │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

---

## Nmap 漏洞扫描

### Nmap 基础扫描

**Nmap 是渗透测试人员的瑞士军刀**，虽然主要是端口扫描器，但也可用于漏洞检测。

```bash
# 基础扫描
$ nmap target.com

# 综合扫描（推荐起点）
$ nmap -sS -sV -O -sC target.com
# -sS: TCP SYN 扫描
# -sV: 版本检测
# -O: 操作系统检测
# -sC: 默认脚本

# 全端口扫描
$ nmap -p- target.com

# 快速扫描
$ nmap -F target.com

# 指定端口
$ nmap -p 80,443,8080,22,3306 target.com

# 端口范围
$ nmap -p 1-1000 target.com

# 扫描整个网段
$ nmap -sS 192.168.1.0/24

# 扫描多个目标
$ nmap target1.com target2.com 192.168.1.0/24

# 从文件读取目标
$ nmap -iL targets.txt
```

### Nmap 脚本引擎（NSE）

Nmap 脚本引擎是强大的漏洞检测工具。

**脚本分类**：

| 类别 | 说明 | 示例 |
|------|------|------|
| **auth** | 认证相关 | `nmap --script=auth target` |
| **broadcast** | 广播发现 | `nmap --script=broadcast` |
| **brute** | 暴力破解 | `nmap --script=brute target` |
| **default** | 默认脚本 | `nmap -sC target` |
| **discovery** | 服务发现 | `nmap --script=discovery target` |
| **dos** | DoS 检测（慎用） | `nmap --script=dos target` |
| **exploit** | 漏洞利用 | `nmap --script=exploit target` |
| **external** | 外部查询 | `nmap --script=external target` |
| **intrusive** | 侵入性脚本 | `nmap --script=intrusive target` |
| **malware** | 恶意软件检测 | `nmap --script=malware target` |
| **safe** | 安全脚本 | `nmap --script=safe target` |
| **vuln** | 漏洞检测 | `nmap --script=vuln target` |

**漏洞扫描脚本**：

```bash
# 使用 vuln 类别扫描
$ nmap --script=vuln target.com

# 使用特定漏洞脚本
$ nmap --script=http-vuln-cve2017-5638 target.com  # Struts2
$ nmap --script=http-vuln-cve2014-3704 target.com  # Drupal
$ nmap --script=smb-vuln-ms17-010 target.com       # EternalBlue
$ nmap --script=smb-vuln-ms08-067 target.com       # Conficker

# 多个脚本组合
$ nmap --script=vuln,exploit target.com

# 排除特定脚本
$ nmap --script=vuln --script-args=unsafe=0 target.com

# 脚本参数
$ nmap --script=http-vuln-* --script-args=http.useragent="Mozilla" target.com
```

**常用漏洞检测脚本**：

```bash
# Web 应用漏洞
$ nmap --script=http-sql-injection target.com
$ nmap --script=http-xssed target.com
$ nmap --script=http-vuln-cve2017-5638 target.com

# SMB 漏洞
$ nmap --script=smb-vuln-ms17-010 target.com
$ nmap --script=smb-vuln-ms08-067 target.com
$ nmap --script=smb-vuln-regsvc-dos target.com

# 数据库漏洞
$ nmap --script=mysql-vuln-* target.com
$ nmap --script=ms-sql-* target.com

# SSL/TLS 漏洞
$ nmap --script=ssl-heartbleed target.com
$ nmap --script=ssl-poodle target.com
$ nmap --script=ssl-dh-params target.com
```

### Nmap 输出与报告

```bash
# 正常输出
$ nmap -oN output.txt target.com

# XML 输出（便于解析）
$ nmap -oX output.xml target.com

# Grep 输出（便于处理）
$ nmap -oG output.gnmap target.com

# 所有格式
$ nmap -oA output target.com

# 解析 XML 输出
$ xmllint --format output.xml

# 使用 nmap-parse 脚本
$ python3 parse_nmap.py output.xml
```

**Nmap 报告模板**：

```markdown
# Nmap 扫描报告

## 扫描信息
- 目标：target.com
- 时间：2024-01-15 10:00
- 命令：nmap -sS -sV -O -sC --script=vuln target.com

## 主机发现
- 存活主机：X 台
- 关闭主机：X 台

## 开放端口汇总
| 端口 | 服务 | 版本 | 风险 |
|------|------|------|------|
| 22 | SSH | OpenSSH 7.6 | 中 |
| 80 | HTTP | Apache 2.4.49 | 高 |
| 443 | HTTPS | Apache 2.4.49 | 高 |

## 漏洞发现
### CVE-2021-41773 (Apache 路径遍历)
- CVSS: 7.5 (高危)
- 影响：Apache 2.4.49
- 建议：升级到 2.4.50+
```

---

## Nessus 漏洞扫描器

### Nessus 概述

Nessus 是全球最流行的商业漏洞扫描器，由 Tenable 公司开发。

**Nessus 版本**：

| 版本 | 价格 | 特点 | 适用场景 |
|------|------|------|----------|
| **Nessus Essentials** | 免费 | 16 个 IP、基础插件 | 个人学习、小网络 |
| **Nessus Professional** | $3,990/年 | 无限 IP、全部插件 | 专业渗透测试 |
| **Nessus Enterprise** | 定制 | 企业级功能 | 大型企业 |

### Nessus 安装与配置

```bash
# 下载 Nessus（需要注册）
$ wget https://www.tenable.com/downloads/api/v2/pages/nessus/files/Nessus-10.x.x-debian10_amd64.deb

# 安装
$ sudo dpkg -i Nessus-10.x.x-debian10_amd64.deb

# 启动服务
$ sudo systemctl start nessusd

# 访问 Web 界面
https://localhost:8834/

# 初始化配置
1. 选择版本（Essentials/Professional）
2. 获取激活码（https://www.tenable.com/products/nessus/nessus-essentials）
3. 创建管理员账号
4. 更新插件库
```

### Nessus 扫描策略

**内置策略**：

| 策略 | 用途 |
|------|------|
| **Basic Network Scan** | 基础网络扫描 |
| **Advanced Scan** | 高级自定义扫描 |
| **Web Application Tests** | Web 应用测试 |
| **Malware Scan** | 恶意软件检测 |
| **Shellshock Detection** | Shellshock 检测 |
| **PCI DSS Scan** | PCI DSS 合规扫描 |
| **Software Update** | 软件更新检查 |
| **CIS Policy Audit** | CIS 基准审计 |

**创建自定义策略**：

```
1. 登录 Nessus Web 界面
2. Policies → New Policy
3. 选择模板（Advanced Scan）
4. 配置扫描选项：

Settings → Discovery:
   - Host Discovery: Ping + Port Scan
   - Port Scan: 1-65535
   - Service Detection: Enabled

Settings → Assessment:
   - Safe Checks: Enabled（生产环境）
   - Credentialed Patch Audit: Enabled（如有凭证）
   - Web Application Tests: Enabled

Settings → Report:
   - Report Format: HTML + PDF
   - Vulnerability Details: Full

5. 保存策略
```

### Nessus 扫描执行

**Web 界面操作**：

```
1. Scans → New Scan
2. 选择策略（或自定义）
3. 配置目标：
   - Targets: 192.168.1.0/24
   - Excluded Targets: 192.168.1.100（关键服务器）
4. 配置调度（可选）：
   - One Time: 立即执行
   - Scheduled: 定时执行
5. 启动扫描
```

**命令行扫描（Nessus CLI）**：

```bash
# 获取 API 密钥
$ curl -k -X POST \
  -H "Content-Type: application/json" \
  -d '{"username":"admin","password":"password"}' \
  https://localhost:8834/session

# 创建扫描
$ curl -k -X POST \
  -H "X-Cookie: token=YOUR_TOKEN" \
  -H "Content-Type: application/json" \
  -d '{
    "uuid":"policy-uuid",
    "settings": {
      "name":"My Scan",
      "text_targets":"192.168.1.0/24"
    }
  }' \
  https://localhost:8834/scans

# 启动扫描
$ curl -k -X POST \
  -H "X-Cookie: token=YOUR_TOKEN" \
  https://localhost:8834/scans/SCAN_ID/launch

# 下载报告
$ curl -k -X GET \
  -H "X-Cookie: token=YOUR_TOKEN" \
  https://localhost:8834/scans/SCAN_ID/export/REPORT_ID/download \
  -o report.pdf
```

### Nessus 漏洞分析

**漏洞详情页面包含**：

```
┌─────────────────────────────────────────────────────────────┐
│              Nessus 漏洞详情                                │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  漏洞信息：                                                 │
│  - 名称：Apache 2.4.49 Path Traversal                      │
│  - CVE: CVE-2021-41773                                     │
│  - CVSS: 7.5 (高危)                                        │
│  - 插件 ID: 154018                                         │
│                                                             │
│  描述：                                                     │
│  Apache 2.4.49 存在路径遍历漏洞，攻击者可读取文件内容     │
│                                                             │
│  受影响资产：                                               │
│  - 192.168.1.10:80                                         │
│  - 192.168.1.20:80                                         │
│                                                             │
│  验证方法：                                                 │
│  GET /.%2e/.%2e/.%2e/.%2e/etc/passwd                       │
│                                                             │
│  修复建议：                                                 │
│  1. 升级到 Apache 2.4.50 或更高版本                        │
│  2. 如无法升级，配置 WAF 规则拦截                          │
│  3. 限制 Directory 权限                                    │
│                                                             │
│  参考资料：                                                 │
│  - https://httpd.apache.org/security/vulnerabilities.html  │
│  - https://nvd.nist.gov/vuln/detail/CVE-2021-41773         │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

### Nessus 报告导出

**报告格式**：

| 格式 | 用途 |
|------|------|
| **HTML** | 交互式报告、适合在线查看 |
| **PDF** | 正式交付、打印 |
| **CSV** | 数据分析、导入其他工具 |
| **Nessus DB** | 备份、后续对比 |

**报告定制**：

```
1. 进入扫描结果页面
2. Export → 选择格式
3. 选择章节：
   - Executive Summary（执行摘要）
   - Vulnerability Details（漏洞详情）
   - Host Information（主机信息）
   - Compliance（合规性）
4. 导出
```

---

## OpenVAS 开源扫描器

### OpenVAS 概述

OpenVAS（Open Vulnerability Assessment System）是 Nessus 的开源替代品。

**OpenVAS vs Nessus**：

| 特性 | OpenVAS | Nessus |
|------|---------|--------|
| **价格** | 免费 | $3,990+/年 |
| **插件更新** | 免费 | 需订阅 |
| **易用性** | 中等 | 优秀 |
| **检测率** | 良好 | 优秀 |
| **误报率** | 较高 | 较低 |
| **适用场景** | 预算有限、开源偏好 | 企业级、专业需求 |

### OpenVAS 安装

```bash
# Kali Linux 预装
$ sudo apt update
$ sudo apt install openvas

# 初始化配置
$ sudo greenbone-nutrap-setup

# 启动服务
$ sudo systemctl start greenbone-*

# 访问 Web 界面
https://localhost:9392/

# 默认账号
用户名：admin
密码：安装时生成
```

### OpenVAS 扫描

```bash
# 使用 GVM Tools 命令行
$ gvm-cli --gmp-username admin --gmp-password password socket \
  --xml "<create_target><name>target</name><hosts>192.168.1.0/24</hosts></create_target>"

# Web 界面操作
1. 登录 Greenbone Security Assistant
2. Scans → Tasks → New Task
3. 配置目标、策略
4. 启动扫描
5. 查看结果、导出报告
```

---

## Nuclei 现代化扫描器

### Nuclei 概述

Nuclei 是 ProjectDiscovery 开发的现代化漏洞扫描器，基于 YAML 模板。

**Nuclei 优势**：

```
┌─────────────────────────────────────────────────────────────┐
│                  Nuclei 优势                                │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  1. 模板化扫描                                              │
│     - 基于 YAML 模板                                        │
│     - 易于编写和分享                                        │
│     - 社区贡献模板库                                        │
│                                                             │
│  2. 快速轻量                                                │
│     - Go 语言编写                                           │
│     - 并发扫描                                              │
│     - 资源占用低                                            │
│                                                             │
│  3. 高度可定制                                              │
│     - 自定义模板                                            │
│     - 灵活匹配条件                                          │
│     - 支持多种协议                                          │
│                                                             │
│  4. 持续更新                                                │
│     - 每日更新模板                                          │
│     - 快速响应新漏洞                                        │
│     - 社区活跃                                              │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

### Nuclei 安装

```bash
# 使用 Go 安装
$ go install -v github.com/projectdiscovery/nuclei/v3/cmd/nuclei@latest

# 或使用包管理器
$ apt install nuclei  # Kali
$ brew install nuclei  # macOS

# 更新模板
$ nuclei -update-templates

# 查看版本
$ nuclei -version
```

### Nuclei 基础使用

```bash
# 基础扫描
$ nuclei -u https://target.com

# 多目标扫描
$ nuclei -l targets.txt

# 使用特定模板
$ nuclei -u https://target.com -t vulnerabilities/
$ nuclei -u https://target.com -t exposures/
$ nuclei -u https://target.com -t misconfiguration/

# 按严重程度过滤
$ nuclei -u https://target.com -s critical
$ nuclei -u https://target.com -s high
$ nuclei -u https://target.com -s critical,high

# 按标签过滤
$ nuclei -u https://target.com -t cves/2023/
$ nuclei -u https://target.com -t cves/2022/
$ nuclei -u https://target.com -tags apache

# 输出报告
$ nuclei -u https://target.com -o report.txt
$ nuclei -u https://target.com -json-export report.json

# 并发控制
$ nuclei -u https://target.com -c 50  # 50 并发
$ nuclei -u https://target.com -rate-limit 100  # 每秒 100 请求

# 静默模式
$ nuclei -u https://target.com -silent
```

### Nuclei 模板结构

**模板示例**：

```yaml
id: cve-2021-41773

info:
  name: Apache 2.4.49 Path Traversal
  author: projectdiscovery
  severity: high
  description: Apache 2.4.49 path traversal vulnerability
  reference:
    - https://nvd.nist.gov/vuln/detail/CVE-2021-41773
  tags: cve,cve2021,apache,lfi

requests:
  - method: GET
    path:
      - "{{BaseURL}}/.%2e/.%2e/.%2e/.%2e/etc/passwd"
    
    matchers-condition: and
    matchers:
      - type: regex
        regex:
          - "root:.*:0:0:"
        condition: and
      
      - type: status
        status:
          - 200
```

**模板字段说明**：

| 字段 | 说明 |
|------|------|
| `id` | 唯一标识符 |
| `info.name` | 漏洞名称 |
| `info.author` | 作者 |
| `info.severity` | 严重程度（critical/high/medium/low/info） |
| `info.description` | 描述 |
| `info.reference` | 参考链接 |
| `info.tags` | 标签 |
| `requests` | 请求定义 |
| `matchers` | 匹配条件 |

### Nuclei 高级功能

**工作流**：

```yaml
id: workflow-example

workflows:
  - template: technologies/tech-detect.yaml
    subtemplates:
      - tags: apache
        template: vulnerabilities/cve-2021-41773.yaml
      - tags: nginx
        template: vulnerabilities/cve-2020-11724.yaml
```

**条件逻辑**：

```yaml
requests:
  - method: GET
    path:
      - "{{BaseURL}}/admin"
    
    matchers:
      - type: word
        words:
          - "Admin Panel"
          - "Login"
        condition: or
      
      - type: status
        status:
          - 200
        part: header
```

**提取器**：

```yaml
requests:
  - method: GET
    path:
      - "{{BaseURL}}"
    
    extractors:
      - type: regex
        name: version
        regex:
          - "Server: Apache/([0-9.]+)"
        group: 1
```

### Nuclei 模板编写

**编写自定义模板**：

```yaml
id: custom-vuln-check

info:
  name: Custom Vulnerability Check
  author: your_name
  severity: medium
  description: Check for custom vulnerability
  tags: custom

requests:
  - method: GET
    path:
      - "{{BaseURL}}/vulnerable-endpoint"
    
    headers:
      User-Agent: "Mozilla/5.0"
    
    payloads:
      param:
        - "' OR '1'='1"
        - "<script>alert(1)</script>"
    
    matchers:
      - type: word
        words:
          - "vulnerable"
          - "error"
        condition: or
      
      - type: status
        status:
          - 200
```

---

## Web 应用漏洞扫描

### Burp Suite

**Burp Suite 是 Web 应用测试的行业标准**。

**扫描流程**：

```
1. 配置代理
   - 浏览器代理：127.0.0.1:8080
   - 安装 CA 证书

2. 爬取网站
   - Target → 选择目标
   - Spider → 爬取网站
   - 或手动浏览

3. 主动扫描
   - Target → 选择 URL
   - 右键 → Scan
   - 选择扫描策略

4. 分析结果
   - Dashboard → 查看漏洞
   - 验证误报
   - 生成报告
```

**扫描策略**：

| 策略 | 用途 |
|------|------|
| **Normal Scan** | 常规扫描 |
| **Passive Scan** | 被动扫描（不发送请求） |
| **Active Scan** | 主动扫描 |
| **Custom Scan** | 自定义策略 |

### OWASP ZAP

**OWASP ZAP 是免费的 Web 应用扫描器**。

```bash
# 启动 ZAP
$ zap.sh

# 命令行扫描
$ zap-cli quick-scan -s all https://target.com

# 主动扫描
$ zap-cli active-scan -s all https://target.com

# 生成报告
$ zap-cli report -o report.html -f html
```

### Nikto

**Nikto 是经典的 Web 服务器扫描器**。

```bash
# 基础扫描
$ nikto -h https://target.com

# 指定端口
$ nikto -h https://target.com -p 8080

# 使用代理
$ nikto -h https://target.com -useproxy http://127.0.0.1:8080

# 输出报告
$ nikto -h https://target.com -o report.html

# 跳过特定检查
$ nikto -h https://target.com -Skip 12345

# 更新数据库
$ nikto -update
```

---

## 数据库漏洞扫描

### SQLMap

**SQLMap 是 SQL 注入自动化测试工具**。

```bash
# 基础检测
$ sqlmap -u "https://target.com/page?id=1"

# 指定参数
$ sqlmap -u "https://target.com/page?id=1" -p id

# 数据库枚举
$ sqlmap -u "https://target.com/page?id=1" --dbs

# 表枚举
$ sqlmap -u "https://target.com/page?id=1" -D database --tables

# 列枚举
$ sqlmap -u "https://target.com/page?id=1" -D database -T users --columns

# 数据提取
$ sqlmap -u "https://target.com/page?id=1" -D database -T users --dump

# 获取 shell
$ sqlmap -u "https://target.com/page?id=1" --os-shell

# 使用 Tamper 脚本绕过 WAF
$ sqlmap -u "https://target.com/page?id=1" --tamper=space2comment
```

### 数据库安全基线

**MySQL 安全扫描**：

```bash
# 使用 mysqlsecureinstallation
$ mysql_secure_installation

# 检查默认账户
$ mysql -u root -p -e "SELECT user,host FROM mysql.user;"

# 检查权限
$ mysql -u root -p -e "SHOW GRANTS FOR 'user'@'host';"

# 检查插件
$ mysql -u root -p -e "SHOW PLUGINS;"
```

---

## 漏洞扫描实战案例

### 案例背景

**客户**：某电商企业
**测试范围**：
- 外部网络：官网、API 服务器
- Web 应用：电商网站、管理后台
- 数据库：MySQL、Redis

### 扫描过程

#### 第 1 阶段：Nmap 初步扫描

```bash
# 发现存活主机
$ nmap -sS -sn 203.0.113.0/24

# 综合扫描
$ nmap -sS -sV -O -sC --script=vuln 203.0.113.10

结果：
PORT      STATE SERVICE  VERSION
22/tcp    open  ssh      OpenSSH 7.6p1
80/tcp    open  http     Apache httpd 2.4.49
443/tcp   open  ssl/http Apache httpd 2.4.49
3306/tcp  open  mysql    MySQL 5.7.35
6379/tcp  open  redis    Redis 5.0.7

漏洞发现：
- CVE-2021-41773 (Apache 路径遍历) - 高危
- CVE-2021-42013 (Apache 路径遍历) - 高危
- Redis 未授权访问 - 严重
```

#### 第 2 阶段：Nessus 深度扫描

```
Nessus 扫描策略：Advanced Scan
目标：203.0.113.0/24
认证：无（外部扫描）

扫描结果：
┌─────────────────────────────────────────────────────────────┐
│ 漏洞汇总                                                    │
├─────────────────────────────────────────────────────────────┤
│ 严重：2 个                                                  │
│ - Redis 未授权访问                                          │
│ - MongoDB 未授权访问                                        │
│                                                             │
│ 高危：5 个                                                  │
│ - Apache CVE-2021-41773                                     │
│ - Apache CVE-2021-42013                                     │
│ - SSL/TLS 弱加密套件                                        │
│ - MySQL 弱密码                                              │
│ - SSH 弱密码                                                │
│                                                             │
│ 中危：8 个                                                  │
│ - HTTP 方法启用                                             │
│ - 目录列表启用                                              │
│ - 敏感信息泄露                                              │
│                                                             │
│ 低危：12 个                                                 │
│ - 信息泄露                                                  │
│ - 配置问题                                                  │
└─────────────────────────────────────────────────────────────┘
```

#### 第 3 阶段：Nuclei Web 扫描

```bash
# Web 应用扫描
$ nuclei -l web-targets.txt -t vulnerabilities/ -t exposures/

# CVE 扫描
$ nuclei -l web-targets.txt -t cves/2021/

# 自定义模板
$ nuclei -l web-targets.txt -t custom-vulns/

发现：
- CVE-2021-41773 (Apache 路径遍历)
- XSS 漏洞（存储型）
- 敏感文件暴露（.git、.env）
- 默认后台路径
```

#### 第 4 阶段：SQLMap 注入测试

```bash
# 检测注入点
$ sqlmap -u "https://target.com/search?q=test"

# 发现注入点
[INFO] GET parameter 'q' is vulnerable to SQL injection

# 获取数据库
$ sqlmap -u "https://target.com/search?q=test" --dbs

可用数据库：
- information_schema
- ecommerce_db
- mysql

# 提取用户数据
$ sqlmap -u "https://target.com/search?q=test" -D ecommerce_db -T users --dump
```

### 扫描结果汇总

| 漏洞 | 风险等级 | CVSS | 受影响资产 | 状态 |
|------|----------|------|------------|------|
| Redis 未授权访问 | 严重 | 9.8 | 203.0.113.40 | 已验证 |
| MongoDB 未授权访问 | 严重 | 9.8 | 203.0.113.50 | 已验证 |
| Apache CVE-2021-41773 | 高危 | 7.5 | 203.0.113.10 | 已验证 |
| Apache CVE-2021-42013 | 高危 | 7.5 | 203.0.113.10 | 已验证 |
| SQL 注入 | 高危 | 8.6 | Web 应用 | 已验证 |
| XSS 存储型 | 中危 | 6.1 | Web 应用 | 已验证 |
| SSL/TLS 弱加密 | 中危 | 5.3 | 203.0.113.10 | 已验证 |

---

## 漏洞扫描最佳实践

### 扫描策略

**扫描前准备**：

```
┌─────────────────────────────────────────────────────────────┐
│                  扫描前检查清单                             │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  □ 获得书面授权                                            │
│  □ 明确扫描范围（IP、域名）                                │
│  □ 确定扫描时间窗口                                        │
│  □ 通知相关人员                                            │
│  □ 准备回滚计划                                            │
│  □ 备份关键数据                                            │
│  □ 准备紧急联系人                                          │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

**扫描策略选择**：

| 场景 | 推荐策略 |
|------|----------|
| **生产环境** | 被动扫描 + 安全检查 |
| **测试环境** | 主动扫描 + 完整检测 |
| **外部评估** | 非认证扫描 |
| **内部评估** | 认证扫描 |
| **合规审计** | CIS/PCI DSS 策略 |
| **新系统上线** | 全面扫描 |

### 误报处理

**误报常见原因**：

```
1. 版本检测误报
   - 原因：服务版本号未更新但已打补丁
   - 解决：人工验证、检查补丁状态

2. 配置检测误报
   - 原因：补偿性控制未识别
   - 解决：检查实际配置

3. 特征匹配误报
   - 原因：响应包含关键词但非漏洞
   - 解决：人工验证

4. 环境差异
   - 原因：扫描器假设与实际环境不符
   - 解决：调整扫描策略
```

**误报验证流程**：

```
1. 查看漏洞详情
2. 检查受影响版本
3. 验证补丁状态
4. 手动测试漏洞
5. 检查补偿性控制
6. 标记为误报/确报
7. 记录验证结果
```

### 报告编写

**报告结构**：

```markdown
# 漏洞扫描报告

## 执行摘要
- 扫描概述
- 风险概览
- 关键发现
- 整体评级

## 扫描范围
- 目标列表
- 扫描时间
- 扫描策略

## 漏洞统计
- 按严重程度分布
- 按类型分布
- 按资产分布

## 详细发现
### [漏洞名称]
- 风险等级
- CVSS 评分
- 受影响资产
- 漏洞描述
- 验证步骤
- 修复建议
- 参考资料

## 修复建议
- 短期措施（1 周内）
- 中期措施（1 月内）
- 长期措施（3 月内）

## 附录
- 扫描工具版本
- 完整漏洞列表
- 技术细节
```

### 工具组合建议

**推荐工具组合**：

```
┌─────────────────────────────────────────────────────────────┐
│              漏洞扫描工具组合                               │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  基础组合（个人/小团队）：                                  │
│  ├── Nmap（端口扫描）                                       │
│  ├── Nuclei（漏洞检测）                                     │
│  └── OWASP ZAP（Web 扫描）                                  │
│                                                             │
│  专业组合（企业/渗透测试）：                                │
│  ├── Nessus（综合扫描）                                     │
│  ├── Burp Suite（Web 扫描）                                 │
│  ├── Nmap（网络扫描）                                       │
│  └── SQLMap（数据库测试）                                   │
│                                                             │
│  开源组合（预算有限）：                                     │
│  ├── OpenVAS（综合扫描）                                    │
│  ├── Nuclei（漏洞检测）                                     │
│  ├── OWASP ZAP（Web 扫描）                                  │
│  └── Nmap（网络扫描）                                       │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

---

## 总结与思考

### 核心要点回顾

1. **漏洞扫描是渗透测试的基础**，但不能替代渗透测试

2. **选择合适的工具**：
   - Nmap：网络扫描、端口发现
   - Nessus：综合漏洞扫描
   - Nuclei：现代化 Web 扫描
   - Burp Suite：Web 应用测试

3. **理解扫描原理**比盲目使用工具更重要

4. **人工验证必不可少**，不要完全依赖自动化结果

5. **报告质量决定价值**，清晰的报告帮助客户真正提升安全

### 深入思考

**问题 1：漏洞扫描的局限性在哪里？**

我的观点：
- 只能发现已知漏洞（基于特征库）
- 无法发现业务逻辑漏洞
- 无法评估漏洞链式利用
- 无法替代人工渗透测试

**问题 2：如何平衡扫描深度和业务影响？**

我建议：
- 生产环境使用安全扫描策略
- 避开业务高峰期
- 限制扫描速率
- 准备应急方案

**问题 3：漏洞扫描频率应该是多少？**

我推荐：
- **外部扫描**：每周 1 次
- **内部扫描**：每月 1 次
- **全面扫描**：每季度 1 次
- **重大变更后**：立即扫描

### 实战建议

**给新手的建议**：

```
1. 掌握基础工具
   - Nmap（必须精通）
   - Nessus/OpenVAS（熟悉）
   - Nuclei（推荐学习）

2. 理解漏洞原理
   - CVE 编号系统
   - CVSS 评分系统
   - 常见漏洞类型

3. 建立扫描 SOP
   - 扫描前检查清单
   - 标准扫描策略
   - 报告模板

4. 持续学习
   - 关注新漏洞
   - 更新工具模板
   - 参加安全社区
```

**给企业的建议**：

```
1. 建立漏洞管理流程
   - 定期扫描
   - 漏洞跟踪
   - 修复验证

2. 选择合适的工具
   - 根据预算和需求
   - 考虑集成能力
   - 评估技术支持

3. 培训安全团队
   - 工具使用培训
   - 漏洞分析培训
   - 报告编写培训

4. 持续改进
   - 定期评估扫描效果
   - 优化扫描策略
   - 引入新工具新技术
```

---

## 参考资料

### 学习资源

| 资源 | 类型 | 链接 |
|------|------|------|
| **Nmap 官方指南** | 文档 | https://nmap.org/book/ |
| **Nessus 文档** | 文档 | https://docs.tenable.com/nessus/ |
| **Nuclei 文档** | 文档 | https://docs.nuclei.sh/ |
| **OWASP 测试指南** | 指南 | https://owasp.org/www-project-web-security-testing-guide |
| **CVSS 计算器** | 工具 | https://www.first.org/cvss/calculator/3.1 |

### 工具资源

| 工具 | 官网 | 用途 |
|------|------|------|
| **Nmap** | https://nmap.org | 网络扫描 |
| **Nessus** | https://www.tenable.com/products/nessus | 漏洞扫描 |
| **OpenVAS** | https://www.greenbone.net | 开源扫描 |
| **Nuclei** | https://nuclei.sh | 模板扫描 |
| **Burp Suite** | https://portswigger.net/burp | Web 扫描 |
| **OWASP ZAP** | https://www.zaproxy.org | Web 扫描 |
| **SQLMap** | https://sqlmap.org | SQL 注入测试 |
| **Nikto** | https://cirt.net/nikto2 | Web 服务器扫描 |

### 漏洞数据库

| 数据库 | 链接 |
|--------|------|
| **NVD** | https://nvd.nist.gov |
| **CVE** | https://cve.mitre.org |
| **Exploit-DB** | https://exploit-db.com |
| **GitHub Advisories** | https://github.com/advisories |

### 书籍推荐

| 书名 | 作者 | 难度 |
|------|------|------|
| 《Nmap Network Scanning》 | Gordon Lyon | 入门 |
| 《Nessus Network Scanning》 | various | 入门 |
| 《The Web Application Hacker's Handbook》 | Dafydd Stuttard | 进阶 |
| 《Penetration Testing》 | Georgia Weidman | 实战 |

---

*365 天信息安全技术系列 | Day 213 | 漏洞扫描技术详解 | 字数：约 22,000 字*