漏洞发现，除了漏扫还能靠啥？

前言

1998年，第一款全球知名开源漏扫工具Nessus创建并发布，没想到大受欢迎。相比于此前个人编写的脚本及工具来检测网络已知漏洞，Nessus功能更丰富也更趁手，适用的安全人员段位也更广泛。此后，随着国际标准漏洞命名系统（CVE）推出，漏洞严重性评分体系（CVSS）引入，漏洞发现成为了一件更专业的事。越来越多的企业推出专业漏扫工具，漏扫技术也不断升级，从扫描传统的网络层与操作层，扩展到云环境、容器应用、物联网设备等等。

发展到现在，漏扫技术已经非常成熟。目前大部分企业想要发现自身资产漏洞，都会通过专业漏扫工具实现。漏扫工具的价值，自不必多说。但随着数字化、信息化建设加快，在这个漏洞爆发、0day日益增多的时代，单靠漏扫工具来发现漏洞，肯定是不够用了。

• 首先，大部分漏洞不支持从原理层扫描。 虽然从原理层扫描，对于漏洞检测相对更准确。但全网三十多万个漏洞，支持原理层扫描的，仅占不到一万。而绝大部分漏洞，要么涉及具体应用逻辑，要么包含大量针对特定业务需求编写的代码，要么API调用链路复杂参数多变，没法进行自动化原理层漏扫，使得无法对全网漏洞进行全面精准扫描。
• 其次，漏扫对业务有入侵性，可能产生脏数据。 以SQL注入测试为例，当扫描器尝试探测数据库是否存在SQL注入漏洞时，可能向查询语句插入特殊字符或者命令，如果没能成功清理，就会作为无效记录保存到数据库，形成“脏数据”，干扰正常数据和分析。
• 最后，开发漏扫PoC成本高，导致漏洞发现滞后。 开发漏洞PoC是一个深入研究和逆向的工程，针对新发现的漏洞不仅需要彻底了解漏洞背后的机制和技术细节，通过对二进制文件逆向工程、协议分析及源代码查询，为了确保PoC的有效性和可靠性，通常还要搭建一个与目标系统尽可能相似的测试环境，需要投入很大的人员与时间成本，很可能错过发现漏洞的最佳时机。

第二种方式：资产与漏洞情报匹配

通过资产匹配发现漏洞，并非全新手段。但相比漏扫，资产匹配不涉及业务交互，也不存在影响业务的情况，在漏洞发现的及时性上，有更好的效果。

基于漏洞情报的资产匹配，主要依赖对已有漏洞的分析与标记，而非主动向目标系统发送探测请求，所以通过漏洞情报数据关联分析，确定哪些资产受漏洞影响，不需要直接与业务系统发生交互，避免了影响业务的情况出现。

覆盖度上，漏洞情报不仅覆盖公共漏洞数据库，同时收集互联网多个渠道信息进行研判分析，捕捉漏洞更全面，并且随着时间推移，能够实时检测最新漏洞情况，保证漏洞覆盖的全面性。一旦出现漏洞，可以实时匹配资产，相比传统基于PoC开发的漏扫，时效性更高，响应速度也更快。

难点：资产与漏洞名称&版本自动化匹配

通过资产与漏洞情报匹配的方式，解决漏洞发现的问题也并不容易。

在企业一线的实践中，一些技术实力雄厚的企业，会选择模糊匹配的方式，针对特定场景，例如开发安全等等，直接引用第三方漏洞库发现内部漏洞，进行资产漏洞匹配。但这种方式只针对漏洞名称相对更规范的很少一部分漏洞，且需要人工处置，无法大规模自动化，也不能真正达到快速全面发现漏洞的要求。

想要达到漏洞发现时效性及全面覆盖的“实战”化要求，意味着企业需要将当前网络环境所有高危漏洞，在出现漏洞后第一时间锁定相关资产。但目前实际的情况则是，不仅全球几大漏洞机构漏洞命名非常不统一，而且绝大多数企业存在大范围的资产版本多、命名不一致的情况，很难实现内部资产与最新漏洞自动化准确匹配。

以Acunetix Ltd.公司的已修复漏洞Acunetix Web Vulnerability Scanner为例，针对该漏洞，企业资产可能是另一个名字Acunetix Scanner Service，漏洞名称与企业资产名称并不匹配。而这种不匹配的情况非常普遍，且量级巨大，属于业界难题。

资产与漏洞名称经常不一致

微步国内首次推出基于大模型的资产漏洞匹配

基于这些问题，微步下一代威胁情报对漏洞情报能力进行重大升级，通过微步安全大模型，将漏洞与资产名称自动映射匹配，企业只需录入自有资产即可自动发现漏洞。同时，这也是国内首次针对漏洞与资产基于大模型进行“自动化”匹配。通过微步漏洞情报的自动化资产漏洞匹配（微步下一代威胁情报平台NGTIP、X情报社区及微步威胁情报检测与分析API均支持），能够帮助企业实现：

• 更全面的漏洞排查。 针对公开漏洞，微步通过海量漏洞源进行全自动化数据采集，同时微步拥有国内质量水平领先的0day奖励计划，收录高价值未公开漏洞，并通过信息融合，保证漏洞准确性与全面性。且在漏洞总量和覆盖度上，微步国内领先，平均漏洞总量超过三大漏洞库等情报平台20%以上。对于企业手动操作，且只能匹配一部分漏洞的情况，微步自动化漏洞资产匹配，能保证当前所有相关漏洞均及时通知。
• 更及时的漏洞发现。 微步漏洞情报及时性国内领先，超过10%以上的2024年漏洞平均早于三大官方漏洞库80-200天。企业录入资产后，一旦出现漏洞，微步漏洞情报可第一时间匹配企业内部资产，进行漏洞告警，且能第一时间提供无损PoC，帮助安全团队节省更多时间。
• 效率更高的漏洞运营。 微步漏洞情报通过安全大模型XGPT，能自动对厂商产品名称进行初始化，快速达到漏洞与资产匹配的自动化。企业只需通过NGTIP或X情报社区录入相关资产数据，产品就能自动匹配企业内部受漏洞影响厂商、产品及版本范围，及时发现内部资产漏洞。相比漏扫、手动匹配资产，通过微步自动化的资产匹配，漏洞发现效率能够得到极大提升。

“自动化”漏洞资产匹配，虽然只是微步下一代威胁情报能力的一个微小创新升级，但在当前漏洞攻击更频繁、漏洞危害更严重的环境下，在整个漏洞来源与实际应用标准不统一的背景下，更像是一把全新的钥匙，我们希望可以帮助更多企业打开高效、精准发现漏洞的大门，帮助更多企业做好漏洞运营与安全运营。

零基础入门网络安全/黑客技术

【----帮助网安学习，以下所有学习资料文末免费领取！----】

> ① 网安学习成长路径思维导图
> ② 60+网安经典常用工具包
> ③ 100+SRC漏洞分析报告
> ④ 150+网安攻防实战技术电子书
> ⑤ 最权威CISSP 认证考试指南+题库
> ⑥ 超1800页CTF实战技巧手册
> ⑦ 最新网安大厂面试题合集（含答案）
> ⑧ APP客户端安全检测指南（安卓+IOS）

大纲

首先要找一份详细的大纲。

学习教程

第一阶段：零基础入门系列教程

该阶段学完即可年薪15w+

第二阶段：技术入门

弱口令与口令爆破
XSS漏洞
CSRF漏洞
SSRF漏洞
XXE漏洞
SQL注入
任意文件操作漏洞
业务逻辑漏洞

该阶段学完年薪25w+

阶段三：高阶提升

反序列化漏洞
RCE
综合靶场实操项目
内网渗透
流量分析
日志分析
恶意代码分析
应急响应
实战训练

该阶段学完即可年薪30w+

面试刷题

最后，我其实要给部分人泼冷水，因为说实话，上面讲到的资料包获取没有任何的门槛。

但是，我觉得很多人拿到了却并不会去学习。

大部分人的问题看似是“如何行动”，其实是“无法开始”。

几乎任何一个领域都是这样，所谓“万事开头难”，绝大多数人都卡在第一步，还没开始就自己把自己淘汰出局了。

如果你真的确信自己喜欢网络安全/黑客技术，马上行动起来，比一切都重要。

资料领取

上述这份完整版的网络安全学习资料已经上传网盘，朋友们如果需要可以微信扫描下方二维码 ↓↓↓ 或者 点击以下链接都可以领取

点击领取 《网络安全&黑客&入门进阶学习资源包》