无需容器运行就能对其进行漏洞扫描的技术

幸运草
幸运草
幸运草
896
文章
3
评论
2020年5月28日22:25:17 评论 38

APP漏洞扫描器之未使用地址空间随机化

我们通过前文《APP漏洞扫描器之本地拒绝服务检测详解》了解到阿里聚安全漏洞扫描器有一项静态分析加动态模糊测试的方法来检测的功能,并详细的介绍了它在针对本地拒绝服务的检测方法。 同时,阿里聚漏洞扫描器有一个检测项叫未使用地址空间随机化技术, 该检测项会分析APP…

容器可追溯到1979年的chroot命令,但Docker的出现让该技术的流行度和可用性有了指数级增长。任何技术一旦流传开来,必然也就成了攻击的目标。

容器旨在提供非完整虚拟机之外的隔离环境,但因为往往不像IT环境中其他资产一样受到监视,容器也就成为了攻击者眼中的肥肉。

公司企业有必要对容器进行漏洞评估,就像对环境中其他任何资产所做的那样。有那么几个漏洞扫描器可以扫描运行中的容器并报告漏洞,旦那只是整个评估的一部分。

容器并非全时段运行,只有完成特定任务时调用一下,然后就是暂停挂起或关机,直到下一次需要的时候再运行。如果扫描的时候容器没在运行,传统扫描器就可能会错过漏洞。

我们可以做个类比以更好地理解这种情况。大多数公司都用笔记本电脑,也会对笔记本电脑进行漏洞扫描。如果扫描的时候笔记本电脑正好接入网络,那么其中存在的漏洞就会被扫到并上报,但如果电脑正好关机或休眠了,漏洞扫描就无法评估这台电脑的情况(假设没有局域网唤醒功能)。

容器的情况与之类似:必须正在运行,才可以被漏洞管理产品评估。

不过,如今,情况改变了。

Tripwire漏洞与暴露研究团队(VERT)发布了ASPL-736,增加了非运行Docker容器扫描功能(暂停、停止、创建、退出等等状态均可)。该功能作为运行容器扫描的补充,对生产中的容器状态有了全面的视图。

有人可能会觉得,“好酷!不过,如果在进入生产前就全都扫描过了,为什么我还需要扫描非运行容器呢?”

可以再用笔记本电脑的类比来回答这个问题。公司或许会对所有笔记本电脑采用通用镜像,里面是已知完好的操作系统和经批准的App。在发给员工的时候,确实是在一个良好的状态。然后,员工可以通过安装软件,甚或暴露在恶意软件之下,让该电脑状态发生改变。因为在漏洞扫描的时候,该电脑未必接入网络,因而这些威胁很可能就被漏掉了。

不建议对生产容器进行修改/修复。相反,你应该修复父镜像,测试之,并用已更新的镜像替换掉生产容器。对笔记本电脑或许不会这么做,但我们仍可应用相同的类比,因为正如企业会有很多同样的笔记本电脑,拥有很多同样的容器或容器间共享的组件并不奇怪。

影响笔记本电脑的漏洞有补丁可用时,会执行漏洞扫描以确保所有系统都被更新。那么有大量容器需要打上OpenSSL补丁时呢?

基础镜像会被更新,更新过的容器再被重新部署进生产中。如果漏洞管理解决方案只能扫描运行中的容器,便无法确保所有容器都被更新。这就留下了盲点,容器可能在缺乏真实漏洞状态可见性的情况下被唤醒或启动。

非运行容器扫描功能,赋予了安全管理员超级X光透视能力,可以看清容器状态,清除这些盲点。

网站被木马恶意篡改了怎么办?

网站被篡改的情况多出现于企业官网,且做了百度竞价的一些网站。而且直接访问网站时,不易发现问题,但通过百度访问会发现跳转到了违法内容的链接。再通过百度搜索官网会发现搜索结果中网站的Title、Description都已经被篡改。 这类行为的目的就是通过这些受害网…

转载请注明:{{title}}-变化吧
  • 赞助本站
  • 微信扫一扫
  • weinxin
  • 赞助本站
  • 支付宝扫一扫
  • weinxin
幸运草
网站SEO优化基础流程(新手必看) 优化

网站SEO优化基础流程(新手必看)

宝塔面板搭建一个获取网站的Favicon图标的APIgetFavicon是一个可以获取网站的Favicon图标并显示在你的网页上的项目。安装方法很简单,属于开箱即食。这篇文章还是基于宝塔面板来搭建。 ...
Centos运维常用工具 运维

Centos运维常用工具

变化吧:WordPress优化教程近些年来,Chrome等浏览器一直在推动https网站,所有的http协议网站被标记为不安全,而在今年的7月份开始,Chrome将对非https网站进一步加入明显的非...