独家故事 | 网络安全 | 漏洞扫描器 | 渗透测试 | 攻击
漏洞扫描器入门:它们告诉你什么,又隐藏了什么
我发现了2000个漏洞,却依然错过了真正重要的攻击。
阅读时间约5分钟 · 2025年12月17日发布
我认识到扫描器会说谎的那一天
那份报告非常漂亮。绿色的对勾、美观的图表,以及2317个按严重程度整齐分类的漏洞。我的团队刚刚完成了季度扫描,一切看起来都很完美。我们已经修复了所有关键问题。
两天后,我们接到了联邦调查局(FBI)的电话。我们的客户数据库正在暗网上出售。
攻击者并没有利用我们那2317个“漏洞”中的任何一个。他们利用的是一个任何扫描器都无法发现的业务逻辑缺陷:一个密码重置功能,允许你通过猜测用户的安全问题来重置任何用户的密码。
扫描器说我们是安全的。攻击者却给出了相反的答案。
漏洞扫描器实际上做什么
它们是自动化的检查清单执行器
可以把扫描器想象成拿着庞大检查清单的实习生。它们测试已知的模式、常见的错误配置以及已公开的漏洞。它们是…… CSD0tFqvECLokhw9aBeRqgdmZ7Kc5W3etiYWLowSc01lgCPUVS+aJTFkcx3HBcfTIZkwCkWqPIcjhsdI/e0PaMReayM6Vq4YaSVmI7rVJruU53ScZxMRKvMLFX3egM9BB4U+jHtSGPSHkCy8KQ8SfQfEw5yvx6MABDQSQWpe/ic=
