＜网络安全＞《6 脆弱性扫描与管理系统》

1 概念

脆弱性扫描与管理系统本质上就是系统漏洞扫描，简称漏扫。

根据漏洞规则库（本地漏洞库、ActiveX库、网页木马库、网站代码审计规则库等）为基础，采用深度主机服务探测、Web智能化爬虫、SQL注入状态检测、主机配置检查以及弱口令检查等方式相结合的技术，实现了将Web漏洞扫描、系统漏洞扫描、数据库漏洞扫描、基线配置核查、工控漏洞检测与弱口令扫描于一体的综合漏洞评估系统。

2 一般功能

系统漏扫：发现网络设备和主机系统的安全漏洞。
漏洞库更新：每周更新并发布漏洞更新公告，重大严重漏洞做到24小时内更新。
资产发现：自动发现网络环境中的主机、网站资产；建立资产清单，对资产进行分组管理。
Web漏扫：发现Web站点中的安全漏洞，提供安全解决建议，对网站SQL注入、Cookie注入、盲注、跨站、文件包含、敏感信息泄露等漏洞进行检测。
弱口令扫描：弱口令安全检查，拥有默认字典库。
数据库扫描：自动发现数据库和数据库实例，对数据库系统设置、系统软件本身已知漏洞及系统完整性检查。
安全基线检查：主机系统、网络设备、安全设备、数据库、中间件等的安全配置检查。
工控漏洞扫描： 对工控系统进行全面的安全检查。

3 一些概念

SQL注入：攻击涉及将恶意代码插入到SQL查询中，并通过动态SQL命令的执行来达到目的。这可以通过在存储的字符串中加入恶意代码来实现，或者通过在用户输入的字符串中使用双连字符（--）来注释掉后续的命令，使得它们不会被执行。

盲注：盲注属于SQL注入的一种，SQL注入可以通过不同的类别来分类，比如按照传参方式分类SQL注入：GET、POST、HEAD(COOKIE)，根据做法的不同，我们也可以把这些分类为盲注、报错注入和显错注入；有关盲注可参考：点击跳转站内文章

Cookie注入：修改cookie的值，使注入的值能够在拼接数据库查询语句从而获得信息，基本上与SQL注入中的get方式提交和post表单方式提交无区别。《Cookie相关文章》