0
有人可以清楚地说明运行nessus扫描与输出凭据之间的区别吗?如果我使用ssh帐户扫描基于unix的系统时没有凭据并且大约在同一时间会发生什么情况?基于证书的nessus扫描说明?
怎样的结果不同>而在什么样的场合一个优于其他
A
回答
5
资格的扫描优选非资格的扫描,因为它是能够运行,以便在主机上执行的脚本直接识别可能易受攻击的版本或软件,并检查可能存在的漏洞。非凭证扫描基本上是基于网络横幅广告和它观察到的TCP/IP堆栈信息进行有根据的猜测,以便找出存在哪些漏洞。
未认证的扫描相当于在房屋周围跑步,并试图打开它来检查门窗上的锁。另一方面,有资格的扫描就像拥有房子的钥匙,以便您可以检查房子内部的锁,并查看它是什么类型的锁,它是否容易受到漏洞影响,以及谁有一个钥匙的副本。
认证扫描提供更多有关系统的信息,但需要更多的协调和努力,然后进行简单的非凭证扫描。它还需要扫描主机和目标主机之间的信任级别。
0
在黑盒测试的情况下,您可能希望继续进行未经身份验证的扫描,而您在该范围内没有关于目标的信息。这可能会导致很多误报。
但是,在白盒/灰盒测试的情况下,您应该继续进行Credentialed扫描。这也将排除获得误报的可能性,并将给出全面的调查结果报告
相关问题
- 1. Nessus扫描仪返回Cleartext凭证漏洞
- 2. Nessus没有主机数据可用于此扫描错误
- 3. sql统计io扫描计数说明
- 4. 基于列表扫描dynamodb
- 5. 扫描证书存储不显示所有证书
- 6. 转换HTML字符串来报告Nessus的安全扫描
- 7. 基于日期的DynamoDB表扫描 - Java
- 8. 基于浏览器的文档扫描
- 9. 基于Web的扫描解决方案
- 10. 基于语言的UILabel扫描
- 11. SoftLayer API Nessus扫描状态/通过python报告
- 12. 基于证书的登录
- 13. 基于IP的SSL证书
- 14. 本书条码扫描器
- 15. 德尔福未说明的标识符 '扫描线'
- 16. MySQL:使用时扫描的行总数说明
- 17. 基于证书的身份验证
- 18. HBase - Java客户端限制扫描结果说明?
- 19. 说明书与Doxygen的
- 20. 基于语言的安装说明
- 21. Magento - 使用简短说明适用于Google基本说明
- 22. SQL查询去为全表扫描,而不是基于索引扫描
- 23. Excel 2010使用条形码扫描器和基于扫描输入更新行
- 24. 关于Hmac用户认证的说明
- 25. SpringBoot基础包不扫描
- 26. 扫描基础知识Java
- 27. MySQL描述输出说明
- 28. Nessus API客户端提取扫描的开始和结束时间 - Ruby脚本
- 29. 用于WiFi的Python扫描
- 30. 扫描文件验证
谢谢丹。这些信息非常有帮助。 – asadz
感谢您纠正我的语法,我应该重读它! – Lexicon
在回顾中,应将其移至security.stackexchange.com ...! – Gewure