【问题标题】:Should we consider info level issues reported by nessus as vulnerabilities我们是否应该将 nessus 报告的信息级别问题视为漏洞
【发布时间】:2016-09-21 07:16:07
【问题描述】:

在运行 nessus 扫描时,它报告了一些严重程度为“信息”的问题。我们是否应该将这些视为针对该产品/模块的安全漏洞。

Nessus 文档在这方面不是很清楚。想知道什么是常见的行业惯例。

【问题讨论】:

  • 这里感觉不是主题——也许是security.stackexchange.com? (不了解产品,仅使用常识,我猜“info”条目并不指向漏洞。要么那个,要么“info”这个词是错误的选择)
  • 有什么办法可以把它移到 security.stackexchange.com 吗?
  • 不,您必须在此处删除并在此处重新询问(但请先查看他们的常见问题解答/问题指南,我对那里的主题和没有主题的内容没有经验)
  • 您可以标记它并要求模组迁移。

标签: security nessus


【解决方案1】:

INFO 并非旨在成为漏洞。它只是在陈述一个事实。例如:
Determined your operating system is <your os name>
这不是一个漏洞。它也可能告诉您一个发现,您需要确定它是否正常。例如:
Found port 22 is open
这也不是一个真正的漏洞,因为 SSH(对于 *nix)在端口 22 上运行。但是,如果您不希望端口 22 打开,则需要自行更正。
成功也报告为 INFO。例如:
Checking for users with no password. SUCCESS!

MEDIUM 表示 Nessus 运行了测试,无法确定测试是否通过或失败。
例如,Nessus 无法扫描 sudoers 文件以查找 NOPASSWD,因为它不可读。这不是失败。这不是成功。所以它将显示为 MEDIUM。

HIGH 表示 Nessus 运行了测试,结果表明失败。例如:
Looking for mounts with nosuid set. Results: Found /tmp/swap
Found /share
Add nosuid to /etc/fstab

希望这有助于未来的用户解释他们的 Nessus 结果。

【讨论】:

    【解决方案2】:

    一般来说,这些都不是漏洞。但是,这些信息可能会派上用场,作为您可能希望采取的利用系统中存在的漏洞的方法的附加组件。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2021-12-21
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多