简单来说openvas是一个开源的漏洞检测掃描软件

其实***很简单但我第一次搞了好久  。主要就是***脚本跟检测脚本

官网还有一个检测脚本openvas-check-setup.sh 会重头到尾检测openvas各项组件以及依賴是否正常，而且还有解决的命令

■■ 版权声明版权声明 本文中出現的任何文字叙述、文档格式、插图、照片、方法、过程等内容除另有特别注明，版权均属绿绿盟科技盟科技所有受到有关产权及版權法保护。任何个人、机构未经绿盟科技绿盟科技的书面授权许可不得以任何方式复制或引用本文的任何片断。 绿盟绿盟 WEB 应用漏洞扫描軟件有哪些系统应用漏洞扫描软件有哪些系统 产品产品白皮书白皮书 ? 2012 绿盟科技绿盟科技 目录目录 一. 概述 WEB 应用漏洞扫描软件有哪些系统应鼡漏洞扫描软件有哪些系统产品产品白皮书白皮书 一一. 概述概述 近年来Web 应用系统随着互联网技术的不断发展呈现出爆炸式的增长。据中國互联网络信息中心CNNIC发布的第 30 次中国互联网络发展状况统计报告①显示截至 2012年 6 月底，中国网民数量达到 5.38 亿网站域名总数为 873 万个，而据瑞典互联网市场研究公司 Royal Pingdom 在 2012 年初的一份研究报告指出 全球网民总量已经达到 22.7 亿②人，也就是说每 3 个人里面就有 1 个网民同一时期，互联網监测机构 NetCraft 在 2012 年 1 月的报告指出全球共有各类网站 5.8 亿③个，也就是说每 11 个人就拥有一个网站 Web 应用系统已广泛应用于各个公共领域（政治、经济、文化、国防等）以及个人领域（娱乐、咨询、交流、沟通等），其中蕴含了越来越多的经济价值而 Web 应用系统在被广泛应用的同時，因其互联、开放等特性更容易遭受黑客的攻击。从 2005 年到 2006 年跳跃式增加至今每年发现的 Web 漏洞数量一直居高不下，这也是导致 Web 应用频繁遭受攻击的重要原因 从最新的 IBM 2012 年风险报告可看到， 2012 年上半年发现的漏洞已达到 4,400个预计今年全年漏洞数将超过 2010 年创下历史新高（逼近 9,000 個），而其中 Web 漏洞占了 47之多 ① http// ② http// ③ http// - 2 - 密级密级完全公开完全公开 ? 2012 绿盟科技绿盟科技 绿盟绿盟 WEB 应用漏洞扫描软件有哪些系统应用漏洞扫描軟件有哪些系统产品产品白皮书白皮书 图 1.1 年上半年漏洞数量增长趋势图① 图 1.2 2012 年上半年 Web 应用漏洞百分比① 因 Web 漏洞引起的安全事件极大困扰着網站维护部门，影响了用户体验甚至对信息网络等核心业务造成严重的破坏，导致了机构门户的经济受损和公信力的下降 ① http// - 3 - 密级密级完铨公开完全公开 ? 2012 绿盟科技绿盟科技 绿盟绿盟 WEB 应用漏洞扫描软件有哪些系统应用漏洞扫描软件有哪些系统产品产品白皮书白皮书 1 网站数据庫被拖库导致注册用户身份信息、银行卡信息、密码等被盗取； 2 网站被挂马、被篡改导致网站信誉受损、网站资源被滥用以及给访问该網站的用户带来被入侵甚至成为僵尸主机的风险。 从 CNCERT 发布的中国互联网网络安全报告可看到至 11 月的第 3 周，2012 年被篡改的网站数一直居高不丅已达 31,663 个其中政府网站高达 3,069 个，而被植入网站后门的境内网站也有 22,854 个其中包括政府网站 2,762 个①。 如何应对频频发生的 Web 应用安全事件 给網站维护部门及其安全监管部门带来新的挑战。 二二. Web 应用应用安全安全面临面临的的挑战挑战 ? “源代码”带来的挑战 Web 应用系统通常是供應商针对不同业务目标进行定制化开发并以“源代码”的形式交付，依靠各种应用环境进行动态解析以实现特定功能因此，对于 Web 漏洞洏言供应商往往也很难提供类似于 Windows 漏洞补丁的通用补丁，这给 Web 应用系统的维护带来了新的挑战不能仅依靠被动的“打补丁”方式而需偠采用更主动的方式使用专业 Web漏洞扫描软件有哪些器进行评估，提前发现 Web 应用系统中隐藏的漏洞根据评估工具给出详尽的漏洞描述和修補方案，指导维护人员进行安全加固防患于未然。 ? 繁重的检查任务带来的挑战 安全检查任务往往时间紧、任务重尤其现在的网站规模日趋庞大，单个站点动辄上千甚至上万个页面而检查时往往需要面对的还不止一个的网站，同时随着 Web 新技术的不断涌现，网站的构荿也越来越复杂因此，如何快速、稳定的完成扫描任务成为亟待解决的问题。 ① http// - 4 - 密级密级完全公开完全公开 ? 2012 绿盟科技绿盟科技 绿盟綠盟 WEB 应用漏洞扫描软件有哪些系统应用漏洞扫描软件有哪些系统产品产品白皮书白皮书 三三. 绿盟绿盟 WEB 应用漏洞扫描软件有哪些应用漏洞扫描软件有哪些系统系统 若能够主动的发现网站的风险隐患并及时采取修补措施，则可以降低风险、减少损失绿盟科技针对该需求，推絀了绿盟 WEB 应用漏洞扫描软件有哪些系统（NSFOCUS Web Vulnerability Scanning System简称NSFOCUS WVSS），该系统可自动获取网站包含的所有资源并全面模拟网站访问的各种行为，比如按钮點击、鼠标移动、表单复杂填充等通过内建的“安全模型”检测 Web 应用系统潜在的各种漏洞，同时为用户构建了从急到缓的修补流程能夠有效解决 Web 应用维护面临的挑战，也能较好满足安全检查工作中所需要的高效性和准确性 ? 采用高效稳定的扫描引擎，基于嵌入式系统岼台通过内核级优化，实现了对大规模网站的快速、稳定的扫描 ? 全面的Web应用安全检测，检测范围覆盖了各企事业单位的门户网站、電子政务的互动平台和政务信息公开服务系统等覆盖了论坛、内容管理系统（CMS）和电子商务应用系统等平台。 ? 采用多视角风险评估模型同时提供了安全评估和风险自评两种模式，既可以周期性的进行全面安全检测还可以结合实际业务系统进行深入的安全评估。 ? 专镓级统计分析报告融入漏洞修补流程和漏洞精确定位技术，既可以展示各站点的整体风险等级和对比风险情况还可以直观、便捷的查看每个漏洞的详细信息及修补建议，很好的帮助用户分步骤的修补漏洞以及验证修补效果 3.1 产品体系结构产品体系结构 NSFOCUS WVSS 是基于 Web 的管理方式，用户使用浏览器通过 SSL 加密通道和系统进行交互方便用户管理。NSFOCUS WVSS 采用模块化设计整个系统可分为UI、web应用服务、扫描引擎、状态引擎、調度引擎、升级系统、***系统、报表系统和基础系统。 - 5 - 密级密级完全公开完全公开 ? 2012 绿盟科技绿盟科技 绿盟绿盟 WEB 应用漏洞扫描软件有哪些系统应用漏洞扫描软件有哪些系统产品产品白皮书白皮书 图 3.1 NSFOCUS WVSS 系统架构 主要模块说明 a 调度引擎模块 该模块采用内置的算法实时监控系统任務的运行情况 并依据结果对各任务进行优化和调整，以达到系统资源的充分利用和任务的高效运行 b 扫描引擎模块 该模块根据配置的策畧，对被扫描站点进行全面准确的 web 漏洞和网页挂马