开始

云计算能力

收藏家

自动化

云配置评估

网站

扫描发动机

扫描模板

扫描凭据

警报和时间表

动态发现

其他扫描资源

评估

行为

报告

SQL查询导出

调

用户和身份验证

管理

集成

资源

发行说明

支持

生命结束公告

写作漏洞检查

自定义漏洞检查数据与Insight平台不兼容dota2必威联赛

如果您是利用本文中描述的自定义漏洞检查功能的InsightVM订阅者，请注意，您创建的任何自定义检查以及从这些检查派生的任何扫描数据都将包含在内部安全控制台中并仅限于此。自定义检查及其扫描结果不会上游传送到洞察平台。dota2必威联赛这意味着它们将不存在于InsightVM基于云的功能和体验中，例如指示板那修复项目,目标和sla。

这是一个关于在安全控制台中开发自定义漏洞检查的教程。关于这个主题的更多信息可在以下文章中获得:

构建弱凭据漏洞检查

转换NASL检查

安全控制台包括一个框架，用于使用简单的XML格式创建复杂的漏洞检查。漏洞检查在两个或多个文件之间进行分割，当扫描引擎启动时，安全控制台将解析这些文件。有两种类型的XML文件构成一个漏洞检查:

漏洞描述符

. xml

漏洞检查—以。结尾的文件<代码class="prism-code language-text">.vck.包含多个测试的扩展，该测试在运行时编译并由安全控制台使用，以验证描述符中描述的漏洞的存在（或不存在）。

一个漏洞可以有几种不同类型的检查(或<代码class="prism-code language-text">.vck.与它相关联。还有第三种可选的XML文件类型:

创建您的第一个漏洞检查

在本文中，我们将重新实现来自Nikto的简单漏洞检查，因为它是许多人将熟悉的开源工具。此示例基于添加到Nikto的Check for WordPress版本信息泄漏。让我们在安全控制台中进行同样的检查，以便您可以看到方法的差异。尼克托支票是这样写的:


          
           
            1
           “006184”、“0”、“3”、“/ wp-links-opml.php”、“得到”,“发电机= \”WordPress /","","","",""," 这个WordPress脚本揭示了安装版本。”、“”、“”

在此检查中：

006184

/ wp-links-opml.php是请求的URL路径吗
Generator = \“WordPress /是要在响应中查找的字符串，该字符串将指示存在此漏洞(引用在Nikto文件格式中转义)

现在，让我们在Security Console中创建一个相同漏洞的检查——您将发现格式更复杂，并且需要更长时间来编写(尽管在Rapid7内部，我们有创作工具来加快这个过程)。

创建一个漏洞描述符(.xml)文件

首先，我们创造了<代码class="prism-code language-text">. xml描述符文件。这个文件看起来很复杂，但实际上很容易解释。创建一个名为<代码class="prism-code language-text">cmty-http-wordpress-wplinks-opml-info-leak.xml其内容如下:

XML.


          
           
            1
           <？XML版本='1.0'编码='UTF-8'？>
          
          
           
            2
           <脆弱性id=“CMTY-HTTP-WordPress-WPLINKS-OPML-Info-Lea漏“发表=“2007-05-26“添加=“2010-03-13“修改=“2010-03-13“版本=“2．0“>
          
          
           
            3.
           <的名字>WordPress.版本信息通过WP泄漏-链接-opml.。php的名字>
          
          
           
            4.
           <标签>
          
          
           
            5.
           <标签>WordPress.标签>
          
          
           
            6.
           <标签>网络标签>
          
          
           
            7.
           <标签>社区标签>
          
          
           
            8.
           标签>
          
          
           
            9.
           <cvss>（AV.：N./AC.：L./Au.：N./C：P./一世：N./一种：N.的）cvss>
          
          
           
            10
           <AlternateIds>
          
          
           
            11
           <id的名字=“URL“>http：//blogsecurity。净/wordpress/工具/wp-扫描器id>
          
          
           
            12
           AlternateIds>
          
          
           
            13
           <描述>
          
          
           
            14
           <P.>这版本的这WordPress.博客软件可以通过一个请求泄露到
          
          
           
            15
           名为wp的文件-链接-opml.。php。这页面输出链接信息在opml.
          
          
           
            16
           格式。opml.是这
          
          
           
            17
           <一种href=“http://en.wikipedia.org/wiki/OPML“>大纲处理器标记语言一种>那
          
          
           
            18
           用于在博客和RSS聚集器。P.>
          
          
           
            19
           描述>
          
          
           
            20.
           <解决方案>
          
          
           
            21
           <解决方案id=“cmty-http-wordpress-disable-wplinks-opml“时间=“30米“>
          
          
           
            22
           <总结>禁用访问WP-链接-opml.。php页面总结>
          
          
           
            23
           <解决方案>
          
          
           
            24
           <P.>评估是否opml.需要启用为你的博客。如果不那禁用访问WP-链接-opml.。PHP页面要么
          
          
           
            25
           删除它或使用您的web服务器的访问控制机制（为例子。htaccess上Apache.的）禁用HTTP访问
          
          
           
            26
           来这文件。P.>
          
          
           
            27
           解决方案>
          
          
           
            28
           解决方案>
          
          
           
            29
           解决方案>
          
          
           
            30.
           脆弱性>

让我们来解释一下这个文件的不同部分:

.vck.

CMTY-HTTP-WordPress-WPLINKS-OPML-Info-Lea漏

CMTY.

这<代码class="prism-code language-text">发表属性 - 漏洞可能具有发布日期，该日期描述了第一次发布漏洞的信息时的日期。此属性是可选的，但如果漏洞的信息可用，则强烈建议包含该属性。在这种情况下，我们选择了<代码class="prism-code language-text">2007-05-26因为这是我能找到的最早的信息泄露参考。此属性可以包含有效日期，形式为<代码class="prism-code language-text">YYYY-MM-DD。
这<代码class="prism-code language-text">添加属性 - 描述符可以具有添加日期，该日期用于注意其首次包含在安全控制台中。在这种情况下，添加日期是<代码class="prism-code language-text">2010-03-13，这是本教程最初编写的日期。
这<代码class="prism-code language-text">修改attribute—描述最后一次修改XML文件的时间。
这<代码class="prism-code language-text">版本属性 - 此属性是指漏洞描述符文件格式的版本。这应该始终设置为<代码class="prism-code language-text">2．0。
这<代码class="prism-code language-text"><名称>元素,<代码class="prism-code language-text"><名称>元素是漏洞的标题，如Security Console UI和报告中的漏洞详细信息列表中所示。
这<代码class="prism-code language-text">< cvss >元素——该元素存储了完整的CVSSv2向量，该向量用于获取此漏洞。看到<一种href=“http://www.first.org/cvss/cvss-guide.html“>http://www.first.org/cvss/cvss-guide.html有关CVSS的更多信息。
这<代码class="prism-code language-text"><标签>元素 - 标记用于对类别搜索或自定义扫描模板进行分类漏洞。我给出了这个漏洞的两个标签：<代码class="prism-code language-text">网络和<代码class="prism-code language-text">WordPress.。
这<代码class="prism-code language-text"><嵌入式>元素 - 此元素用于将多个引用标识分组为漏洞描述符。这些通常包括对Secunia建议，CVE ID和URL的引用。安全控制台将自动在UI中生成正确的超链接，并根据内置逻辑基于大多数类型的ID报告。替代ID可以采用多种形式，包括：
- < id名称= " CVE " > CVE - 2002 - 1850 < / id >获取CVE ID
这<代码class="prism-code language-text"><描述>元素 - 此元素用于提供有关UI中漏洞详细信息页面中显示的漏洞行为的有用信息。此元素支持有限的HTML标记子集，包括<代码class="prism-code language-text"><一>那<代码class="prism-code language-text">< p >那<代码class="prism-code language-text">< ul >那<代码class="prism-code language-text">
1. 这<代码class="prism-code language-text">< >解决方案element—该元素描述了“我如何修补或修复这个漏洞?”漏洞的解决方案分组在解决方案元素下，并由<代码class="prism-code language-text">id（用于外部解决方案）或在文件本身构建（内联解决方案）。解决方案ID的原因是，修复报告可以自动弄清楚如何优化修复步骤（例如，将多个漏洞折叠成单个常见解决方案，该解决方案全部修复全部）。时间属性是指遵循解决方案中列出的步骤的估计时间。您可以使用<代码class="prism-code language-text">30米代表30分钟或<代码class="prism-code language-text">2 h20m代表2小时20分钟。

创建一个漏洞检查(.vck)文件

现在创建一个名为<代码class="prism-code language-text">cmty-http-wordpress-wplinks-opml-info-lever.vck其内容如下:

XML.


          
           
            1
           <vulnerabilityCheck.id=“CMTY-HTTP-WordPress-WPLINKS-OPML-Info-Lea漏“范围=“端点“>
          
          
           
            2
           <NetworkService.类型=“HTTP | HTTPS“/>
          
          
           
            3.
           <httpcheck.>
          
          
           
            4.
           <HTTPRequest方法=“得到“>
          
          
           
            5.
           <URI>/wp-链接-opml.。phpURI>
          
          
           
            6.
           HTTPRequest>
          
          
           
            7.
           <HTTPResponse代码=“200“>
          
          
           
            8.
           <正则表达式>发电机=“wordpress /(.*）”正则表达式>
          
          
           
            9.
           HTTPResponse>
          
          
           
            10
           httpcheck.>
          
          
           
            11
           vulnerabilityCheck.>

让我们来解释一下这个文件的不同部分:

这<代码class="prism-code language-text">范围属性应设置为<代码class="prism-code language-text">端点针对特定于服务的漏洞(影响特定端口或服务的漏洞)或<代码class="prism-code language-text">节点对于系统范围的漏洞(影响整个系统的漏洞)。根据定义，Web漏洞是特定于端点的，而对TCP/IP堆栈的利用将针对整个节点。
这<代码class="prism-code language-text">< NetworkService >元素指示扫描引擎对发现正在运行HTTP或HTTPS协议的任何端口运行此检查。注意the的用法<代码class="prism-code language-text">|字符(也称为“管道”字符)，用于指示HTTP或HTTPS。
这个特殊的<代码class="prism-code language-text">.vck.使用<代码class="prism-code language-text">< HTTPCheck >元素指示一个基本的HTTP“发送请求，匹配响应”类型的检查。<代码class="prism-code language-text">< HTTPCheck >只能包含一个<代码class="prism-code language-text">儿童元素和一个<代码class="prism-code language-text">< HTTPResponse >元素。这<代码class="prism-code language-text">元素可以包含一个或多个<代码class="prism-code language-text">< URI >元素。如果多个<代码class="prism-code language-text">< URI >元素时，将依次请求每个URI，以查找与<代码class="prism-code language-text">< HTTPResponse >状况。
这<代码class="prism-code language-text">< HTTPResponse >元素表示“查找HTTP状态代码为。<代码class="prism-code language-text">200谁的身体与给定的正则表达式相匹配“。
这<代码class="prism-code language-text"><正则表达式>元素使用Perl 5语法，但有一些小差异。这将与HTTP响应体进行匹配。看到<一种href=“http://nlp.stanford.edu/nlp/javadoc/gnu-regexp-docs/syntax.html“>http://nlp.stanford.edu/nlp/javadoc/gnu-regexp-docs/syntax.html查阅完整的语法参考。如果要进行不区分大小写的匹配，请指定<代码class="prism-code language-text">< regex cflags = " REG_ICASE " >。模式匹配在按线路基础上发生。如果您希望正则表达式匹配多行，请指定<代码class="prism-code language-text">< regex cflags = " REG_LINE_ANY_CRLF " >。

部署您的漏洞检查

要部署此漏洞检查，只需复制您的<代码class="prism-code language-text">. xml和相同的<代码class="prism-code language-text">.vck.文件进入以下目录：


          
           
            1
            /插件/ java / 1 / customscanner / 1 /

接下来,访问<一种href=“//m.gcpym.com/insightvm/using-the-command-console">InsightVM命令控制台和运行<代码class="prism-code language-text">加载内容命令。注意控制台上的错误(查看<代码class="prism-code language-text">nsc.log.)，当内容被重新加载时。如果您犯了任何错误，Security Console在编译新的漏洞时将记录一些错误消息。如果一切都成功了，你应该在日志中看到类似下面的消息:


          
           
            1
           2015-12-18T08:59:43 [INFO]插入1个漏洞。
          
          
           
            2
           ．．.
          
          
           
            3.
           2015-12-18T08:59:55 [INFO]加载内容命令完成。

最后,打开漏洞在安全控制台中的选项卡并访问您的新漏洞检查的详细信息。最简单的方法是追加<代码class="prism-code language-text">CMTY-HTTP-WordPress-WPLINKS-OPML-Info-Lea漏到<代码class="prism-code language-text">/脆弱/ vuln-summary.jsp吗?vulnid =格式在浏览器的URL字段。下面是一个类似的例子(代换)<代码class="prism-code language-text">{console-address-or-domain}使用您的控制台主机的正确IP地址或FQDN):


          
           
            1
           https:// {console-address-or-domain}: 3780 /脆弱/ vuln-summary.jsp ? vulnid = cmty-http-wordpress-wplinks-opml-info-leak

您应该在这个视图中看到新漏洞的详细信息。复习资料并改正错误。在进行了必要的更改之后，不要忘记将文件重新部署到Security Console目录。

用你的新漏洞进行扫描

您的新漏洞将自动包含在大多数默认扫描模板中。只需对与具有此漏洞的服务器运行扫描并查看它是否显示。安全控制台应显示任何新的受影响资产<代码class="prism-code language-text">vulnerability.html上面描述的页面URL（别忘了刷新页面）。如果系统易受攻击，但您的支票未被检测到，请尝试运行受影响资产的漏洞报告卡报告（带有详细级别设置为高电平），以了解为什么安全控制台没有找到漏洞。