此页面涉及漏洞方面的内容。
在网站扫描过程中,本应用程序会根据产品中包含的受信认证授权列表检查由站点证书发布的认证授权 (CA) 的名称。如果认证授权与列表上的名称不匹配,则本应用程序会报告一个漏洞。在已报告漏洞详情的证明部分可以查看受信认证授权列表。
什么是“X.509 Certificate Subject CN 不匹配实体名称”漏洞?
当应用程序扫描网站时,它会验证站点安全证书的有效性。如果证书是无效的,则攻击者可能会启动中间人攻击并获得对数据流的完全控制。对有效 X.509 证书的一个要求是,它的主题通用名称 (CN) 字段必须和与资产相关的名称匹配。例如,在由 “https://www.example.com/”出示的证书中,CN 应为“www.example.com”。如果情况并非如此,本应用程序会报告一个漏洞。
根据认证机构的核证作业准则 (CPS) 的规定,认证机构 (CA) 在颁发证书之前必须检查申请证书的机构的身份。
我怎样才能确定我的服务器是否支持弱 SSL 密码?
如果您的服务器支持弱 SSL 密码,本应用程序将会报告一个漏洞:
通过读取漏洞详情,您可以了解此漏洞及其修复方法。
如需确定您的服务器是否支持弱 SSL 密码...
确保在服务器上安装 OpenSSL。
# openssl s_client -connect SERVERNAME:443 -cipher LOW:EXP
如果服务器不支持弱密码,您将会看到下列错误消息或类似消息:
# openssl s_client -connect SERVERNAME:443 -cipher LOW:EXP
CONNECTED(00000003)
461:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake
failure:s23_lib.c:226:
我怎样才能确定我的服务器是否支持 SSLv2?
SSLv2 是已知可入侵的 SSL 版本。如果您的服务器支持 SSLv2,本应用程序将会报告一个漏洞,可能为下列内容:
通过读取漏洞详情,您可以了解这些漏洞及其修复方法。
如需确定您的服务器是否支持 SSLv2...
确保在服务器上安装 OpenSSL。
运行下列命令,假定端口 443 提供 HTTPS 连接:# openssl s_client -ssl2 -connect SERVERNAME:443。
如果服务器不支持 SSLv2,您将会看到下列错误消息或类似消息:
# openssl s_client -ssl2 -connect SERVERNAME:443
CONNECTED(00000003)
458:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake
failure:s2_pkt.c:428:
“已确认”、“未确认”和“潜在”漏洞之间有哪些区别?
当应用程序扫描一项资产时,它会执行一系列发现以验证一项资产、端口、服务和多种服务是否存在(例如,Apache 网络服务器或 IIS 网络服务器)。然后,它将根据在发现阶段收集的信息测试资产是否有已知与此资产关联的漏洞。如果她能够验证漏洞,则它会报告一个“已确认”漏洞。如果应用程序无法验证是否存在已知与此资产关联的漏洞,则将报告“未确认”或“潜在”漏洞。后两者的区别在于可能性的分类。从资产的配置情况来说,未确认漏洞比潜在漏洞存在的可能性更大。请参见本部分中关于潜在漏洞的常见问题。
什么是潜在漏洞?
本应用程序能够运行支付卡行业 (PCI) 所需的软件版本检查,以进行合规审计。无论在已扫描资产上实施多少补丁或保护机制,如果应用程序发现已知可入侵的软件版本,它都会将其标记为漏洞。如果它无法证明漏洞确实存在,它会将其分类为“潜在漏洞”。
漏洞严重性等级有什么含义?
本应用程序会从下列三种严重性等级中选择一个分配给其发现的每个漏洞:
本应用程序会使用各种因素来评价严重性,包括 CVSS 分数、漏洞存在时间和发生率以及漏洞利用程序是否可用。
应用程序使用哪些方法来检测漏洞?
本应用程序能够使用通常与黑客相关的利用方法,以检查注册密钥、标志、软件版本编号以及其他敏感性指标。