胡侃 | 漫漫漏洞扫描之路

*文章原创作者：dawner，本文属于FreeBuf原创奖励计划，未经许可禁止转载

研究漏扫这块儿有段时间了，虽然都是业余自己玩，但平素跟公司漏扫产品线打交道比较多，稍微有些心得，因此在这里简单分享下。

企业级漏扫

盒子扫描器

对于漏扫产品的话，部分甲方单位会按公安那边的标准，在内网部署一些盒子扫描器（硬件服务器+扫描软件）。

说实话，这玩意儿定位是比较尴尬的，虽然大的单位每年有一定的采购指标。但是有时候还是会听产品经理吐槽，每次实在卖不出量，可能一单安全服务生意卖出个一两台就不错了。

当然，现在漏扫一般会配合漏洞管理、网站监控等产品一起卖。为了覆（tong）盖（hang）产（jing）品（zheng）线，给售前和销售操控的空间，这款产品还是必须要的。

卖漏扫盒子的利润还算可观，只要销售和渠道给力，传统乙方还是愿意做的这门生意的。

代表厂商有：

sangfor
venus
nsfocus
topsec
...

在线漏扫服务

在线漏扫的话，一般难以对内网进行检测。大多数的操作是，在验证外网某站的所有权后，再签协议授权扫描。不过由于成本较盒子更加低廉，容易受到中小厂商的追捧。

当然，如果内网也需要享受这样的服务的话，自然还是需要安服人员带着盒子，或者类似封装好的扫描器，在企业单位进行驻场检测。

代表厂商有：

360
knownsec
...

定制漏扫

据笔者所知，部分云服务厂商，会对云服务客户提供了定制漏扫服务。

由于是自家的服务器，自然对客户的业务具有一定的了解。无论是做漏扫，还是做资产监控还是态势感知，都是相对容易的。

云服务厂商在对这部分客户做漏扫时，由于统一的架构部署，安服漏扫会比较精确和有效。貌似这样的漏扫服务，一般不会对外开放，算是定制的服务。

顺便提一句，部分漏洞平台，好像对于大客户也推出了一条龙服务，其中是包括定制漏扫的。

代表厂商有：

alibaba
tencent
kingsoft
riskivy
...

免费商业漏扫

市面上也出现了部分优秀的商业级别漏扫，咱们这里先别讨论是免费版还是破解版。

正是有了这些漏扫产品，在驻场和分公司的苦逼兼职的安服人员，才有了一口饭吃【纯吐槽公司制度】。

这里解释下，因为公司内部的漏扫产品，不是分驻地都能拿到授权的，那最后怎么办呢？用破解的。效果不好咋办？换其他家的破解或者免费产品。

代表产品有：

AWVS
nessus
arachni
metasploit
sqlmap
burpsuite
...

开源漏扫

社区级漏扫

这些产品一般是社区或者团队在维护的，一般为乙方渗透人员或者Bug Bounty人员所用。

一旦他们需要对企业机构，或者政府单位进行渗透测试时，可以根据情况，部署分布式节点扫描，加快漏扫速度。

笔者依稀记得曾经的bugscan，好像大家都可以接入公网节点。这听起来，其实有点像以前的迅雷p2p，可以加速所有运行的任务。

不过后来好像由于各种原因，部分人搞到了源码和payload包，自己玩起了单机。多台外网VPS一部署，扫起东西来也是美滋滋，亲测出结果还是比较快的。

不过这种漏扫有个坏处就是，一旦社区不用心再维护，渐渐就没有人再提交payload，毕竟单个漏洞的生命周期还是不长的。

当然，这种产品还有个去路，就是实现企业化。

一旦变成企业级产品，就会有更多的资源投入去维护它，自然能更好的发展下去。

比较可惜的是，升级后的版本以及payload，自然大多数就不会再开源了。

代表产品有：

bugscan蚁逅
tangscan
Beebeeto
Pocscan
Osprey「鱼鹰」
...

综合扫描

由于各种脚本语言的兴起，大幅减少了coding的难度和时间，网络上涌现出一批由团队或个人维护的综合扫描器。

虽然得吐槽下，大多数质量良莠不齐，造轮子的比较多，而且后续长期作者维护的比较少，不过其中不乏优秀的个体。

综合扫描定义比较模糊，一般除了exp检测和CMS识别外，还有部分项目加入了路径爆破、资产统计、端口扫描等功能。

不过让人稍稍有点失望的是，这类综合扫描可能大同小异，暂时没有发现特别亮眼的点。

在笔者过往的系列文章中，也谈过部分关于综合扫描器细节，这里不再细说。

代表产品有：

w9scan
AngelSword
fenghuangscanner
猪猪侠PPT中提过的扫描器
...

GUI扫描

这里之所以单独区别于前面的综合扫描器【其实是笔者实在想不出小标题了】，是想谈谈其开发时间、开发难度，以及插件化难度。

虽然说部分GUI扫描器也实现了插件化，但作者们大多喜欢自己更新，或者只要求邮件方式提交插件。

这样的话，把产品生态搞成了一个近似闭环，但是肯定又远不及apple store之类的体量，导致用户主动提交的漏扫插件是比较少的。

当然，有部分漏扫的功能和用户体验，还是做的很不错的，很受大家追捧，笔者当年也用的很顺手。

代表产品有：

椰树
北极熊扫描器
k8 team系列扫描器
千手千眼佛网站扫描器
...

代理扫描器

说起代理扫描器，可能内容就比较宽泛了，这里简单讲下，以后有机会单独撰文谈谈。

何谓代理，中间人也，只要你能抓住中间流量，便可以作为基准去做漏洞扫描或者fuzz。

大家可能会想到利用抓包，利用网卡流量进行分析；有人也许会通过浏览器流量代理进行分析；还有人会通过浏览器本身提供扩展插件功能，直接对页面进行即时钩子探测。

说到这块儿，笔者所见的一般都是轻量级的，也可能是见识少吧。个人感觉很少有在采集存数据库以后，在离线端部署过多的exp探测任务的。

毕竟，这块儿也是要考虑到扫描效率，以及会话过期问题的。

另外，貌似代理扫描器对owasp的一些通用漏洞的fuzz，以及对敏感内容的检测，会显得多一些。对于能检测逻辑漏洞的被动扫描器，也算是比较高level的了。

代表产品有：

ysrc的GourdScan
burpsuite插件wyproxy的衍生扫描器
浏览器插件系列...

结语

笔者见过的常见漏扫的架构差不多就是这些了，点到为止吧。另外，笔者自研的也有类似产品，这里就不打广告了XD。

可能有部分内容，由于时间关系没能例举全，也可能有部分笔误，期待指正和建议。

欢迎大家关注笔者的专栏，私信讨论也是可以的。

*文章原创作者：dawner，本文属于FreeBuf原创奖励计划，未经许可禁止转载