本文介绍了如何使用eSCAPe工具编写OVAL(开放漏洞与评估语言)脚本,针对Adobe Flash Player的安全更新进行漏洞检测。通过标准模式创建oval.xml框架,设置架构版本、操作系统,添加定义、来源、受影响产品,创建测试并修改注册表检查条件。最终通过ovaldi.exe验证脚本的正确性。
漏洞库、漏洞库,天天弄这玩意宝宝都快哭了。要知道宝宝是做逆向的。
我用的是eSCAPe-1.2.2.jar来编写oval的,看见.jar了吧,对滴我们得搭建JAVA那套环境T^T。由于没有汉化对于我这种英语只过了4级的学渣而言还得有个 有道词典 。
ok,现在我们就开始编写OVAL。
(打开上一篇博客里面有oval的xml符号的具体说明。)
好的,这里我们点标准模式。然后再坐上file里new一个oval。
这里选择架构版本(根据自己的需求)。
这里是相关操作系统(根据自己的需求)。
这里是创建oval.xml文件,注意文件名必须得已-oval.xml结尾。
finish创建完毕后出现了很熟悉的几个标签。ok到这里我们就成功的创建了个OVAL的框架。现在我们找个漏洞实战演示一下。
我们选择的是2016-02-14 Adobe Flash Player 安全更新 严重等级 3 这个漏洞。
右键左侧标签Definitions,添加说明。
(在我上一篇博客已经写明说明干什么的,不知道的童鞋可以复习一下)
安全更新.
next添加Source(来源)ID和链接
next添加Affected受影响的产品或平台
finish然后在criteria里添加所需要的引用(所添加的引用包括definition和test等,而且必须已建立。友情提示右键操作)。
接下来就是创建tests
这里要选择registry_test 注册表test。
相同的步骤创建一个注册表object。
相同的步骤创建一个注册表state。然后做修改如图。
然后在object里右键Add parameters把要检查的注册表信息添加进去。
在tests里关联state和object 方法如图:
最后要注意一点,刚刚写的state里 我们的operation是equals(等于),而我们要的是小于这个版本号。所以在关闭eSCAPe-1.2.2.jar后要用记事本打开改成less than or equal 。
这样我们第一个oval就写完了。
怎么读这个xml呢?我用的ovaldi.exe.
在控制台打开 并把刚刚写好的xml拖入ovaldi.exe的安装目录里。
然后控制台输入ovalid -m -o myfirstoval.xml 回车结果如图:
本机是windows 10它的Adobe Flash Player是封装在斯巴达浏览器里的 所以我们注册表目录那没有Adobe Flash Player这个东西。于是没有false(不能评估)。
完活儿。
扫一扫
8638
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
