问从漏洞扫描手动验证漏洞

EN

仅仅因为漏洞扫描器识别了您使用的包或库中存在的漏洞，并不意味着它可以在您的系统中被利用。即使它是可利用的，也可能存在限制谁可以利用它的控制措施，这足以减少风险。

根据上下文，我建议不要盲目地跟踪漏洞扫描器的结果。相反，执行风险评估，并根据您的代码或组织面临的漏洞风险，优先部署修补程序或修复代码。承担不同的用户角色--公共角色、最终用户、管理员、操作工程师--并试图利用该漏洞来确定对系统的影响。

我建议的第一件事是查看原始横幅数据，以确定漏洞信息是否已被验证。

在Shodan中有两种类型的漏洞可以附加到横幅上:验证和未验证。未经验证的漏洞是基于我们收集的元数据隐含的漏洞。例如，如果服务器正在运行旧版本的Apache，那么我们将已知的问题与该版本相关联，并将横幅中的相关验证属性设置为False。Shodan也越来越多地开始在可能的情况下验证漏洞。如果发现了已验证的漏洞，则将验证属性设置为True。

在我们自己的产品(如肖丹监测器 )中，我们只发送经过验证的漏洞的通知。未经验证的程序可能不可靠，需要手动跟踪/很好地理解您的环境。最后，Shodan不是漏洞扫描器。它没有全面地测试或识别所有的漏洞。我们的主要重点是帮助组织了解他们连接到互联网上的设备。我们检查了严重的问题，我们看到这些问题在野外得到了积极的利用。这些未经验证的信息是由于客户的请求而添加的，这样他们就不需要自己去做了，但是它会产生很多错误的结果。