绿盟扫描器<开箱>测评

工作中需要使用绿盟漏扫，遂记录一下。

前言

在上一家的工作中用到了绿盟漏扫, 单纯从软件使用的角度来说, 绿盟能占据大量市场份额不是没有道理的.

目前个人认为RSAS与国外的nessus漏扫不分伯仲吧 (nessus 用的还不多)

工作中用到了硬件盒子,以前没接触过,所以在配置网络方面感觉很虚.最终在帝哥的指导下,顺利完成了任务(感谢帝哥~)

长什么样子?

如图.只拍了盒子的接口部分.盒子挺轻巧的(代价就是扫描速度贼慢).

图里分别是 S 口,M 口还有 1,2,3,4 口

• S 口就是 console 接口,据大佬说,这是类似于交换机上一种接口,供工程师连接对设备进行故障分析,密码重置等操作
• M 口是 Manage接口,该口是和客户端进行连接的口,用网线连到自己的电脑上
• 1,2,3,4是LAN接口,该口负责和服务器,路由器等设备进行连接通信

需要配置啥?

1. 开机.绿盟的开关在后面,需要按住开关 1-2 秒,等前面的灯亮(不是传统意义上的开关)

2. RSAS 先连接路由器设备,我这里用到的是 2 口,另外还要记下之前分配给那台设备的 ip,我这里暂且记为 10.0.1.2(大部分不支持 dhcp)

3. m 口连接电脑,给本地适配器手动设置

    ip: 1.1.1.5  
    mask:255.255.255.0  
    网关 1.1.1.1
   

4. 访问 1.1.1.1打开绿盟设备登录页面,输入账号密码进入.

5. 在左侧有一个设置选项栏,里面有个功能可以设置当前的接口状态,一共 4 个,(eth0,eth1,eth2,eth3).一般默认是不允许启用多个接口状态的,要看授权情况.因此:请注意,你连接了 1,2,3,4哪个口,就去改写哪个接口状态. 将路由器ip 地址(上文中的10.0.1.2),掩码和网关地址依次填入

6. 左侧有一个网络工具栏,可以尝试 ping 下目标 ip,确认网络已通.

优缺点

先说缺点吧

• web 扫描,目标一次不能提交超过 15 个 url,很迷,有的时候客户给一大堆还要分批去测试.
• 绿盟在添加扫描目标的时候会自动判断 url是否可以请求,不能请求的会显红提示,并在去掉无效的 url 后才能开始扫描. 但是我更希望直接在报告中体现 url 是无效的,而不是在前端进行筛查,毕竟能给客户体现我们确实扫了,而不是漏报了.
• 扫描速度慢

优点大概就是准确度高,误报低,有一些漏洞的 poc 写的比较不错.像我遇到的一个 struct dev mode 漏洞,用网上的工具跑不出来,而绿盟漏扫一扫就发现了.

后记

很多网络相关的用语还是不太熟悉,侧面说明对设备的掌握程度不足,仍需努力.下次用到了其他设备再和大家聊

如有错误的地方,恳请指正.