nt最近領土存在感很低？nt最近領土存在感很低，多半是廢了從布

SS特5紅顏101都是一打一個準只有赤那V韌性十足看空投布局SS特5紅顏后方種地我以為赤那V沒這么2

漏洞掃描軟件Nessus怎么用？

裝完后，在菜單選擇：

當然，你需要獲取一個“activation code”，這個在上圖點擊后的“主界面”獲取就OK了。

下一步，需要“Update Plugins”，簡單說就是升級插件，也就是漏洞庫升級。需要周期較長，需要等待，淡定的等待……可以在論壇灌灌水、可以在農場偷偷菜！總之時間較長，需要淡定！

升級完后，點上圖的“Manage Users”，添加一個屬于你的賬戶。添加界面如下圖：

Nessus 4.2.0和上一個版本4.0.2最大的區別就是從C/S模式改為了B/S模式，就是說你訪問系統的時候可以直接通過瀏覽器，而不必要再安裝一個可執行文 件，遠程的計算機也可以訪問。在上面的帳號添加好之后，打開瀏覽器，輸入你安裝Nessus主機的地址，主要是https方式而不是http方式訪問，端 口是8834，如我的訪問地址就是：:8834/，輸入剛添加的帳號和密碼就Ok了。

主界面上面有4個按鈕，分別是：Reports(報表)、Scans(掃描)、Policies(策略)、User(用戶)，其實也很簡單，一眼就能看出來有什么作用。在User我們能進行用戶的管理，增加、修改、刪除賬號，如：User→Add則會提示：

輸入相關信息即可，當然你可以選擇這個賬號是否是Administrator(管理員)。

要進行安全評估，則首先要制定掃描策略，然后添加掃描范圍，才能進行掃描，掃描完畢可以查看報表。就是上面說的幾個按鈕的用途。下面我們增加掃描策略：Policies→Add

基本上只要寫“Name”即可，如果選擇了Visibility為Shared，則別人也可以利用你這個策略進行掃描。填好后“Next”即可看到下面的界面：

我現在要掃描Windows主機，則在最上面選擇“Windows Credentials”即可，下面的可以為空。然后“Next”

選擇“Families”即可，就是你要掃描什么設備，實際上如果只掃描跑WEB服務的Windows主機，選擇下面四個就可以了。選擇好后“Next”，下一步可以設置數據庫信息，不寫了，直接“Submit”就完成。

添加完策略后，增加一個掃描任務，ScanS→Add

輸入掃描任務的名稱、選擇我們剛才建立的策略、輸入掃描目標(IP或域名)后點“Launch Scan”，掃描任務就開始了！親愛的，我們現在就正在掃描了！新手激動？嘿嘿

一會兒就掃描完了，掃描過程中可以在“Scans”和“Reports”查看狀態，掃描完后就可以在Reports下面看到Status為“Completed”。

這時候雙擊“WEB Server -- YouXia”就可以查看報告了。

左側的“Download Report”可以下載評估報告；“Show Filters”可以設置過濾器，比如只顯示高級別報警，這樣就可以按照威脅級別進行準確篩選。

雙擊“Host”可以列出詳細的漏洞評估報告。如哪個端口存在威脅，級別是多少。你在這里依然可以雙擊，雙擊某個端口就可以顯示詳細信息。我在這里選擇1433。雙擊后可以列出有3個高級別報警。

雙擊某一個可以顯示詳情。

概要、描述、方案、CVSS、CVE編號等，當然你可以選擇“Download Report”導出你生成的日志到本機保存，這樣更便于分析。

如何正確對待通用安全漏洞評分系統

通用漏洞評分系統(CVSS)誕生于2007年，是用于評估系統安全漏洞嚴重程度的一個行業公開標準。CVSS現在已經進入第二個版本，第三版正在開發中。它的主要目的是幫助人們建立衡量漏洞嚴重程度的標準，使得人們可以比較漏洞的嚴重程度，從而確定處理它們的優先級。CVSS得分基于一系列維度上的測量結果，這些測量維度被稱為量度(Metrics)。漏洞的最終得分最大為10，最小為0。得分7~10的漏洞通常被認為比較嚴重，得分在4~6.9之間的是中級漏洞，0~3.9的則是低級漏洞。

大多數商業化漏洞管理軟件都以CVSS為基礎，因此各企業看待漏洞的視角通常是從CVSS得分出發。盡管CVSS在快速進行漏洞優先級排序和甄別漏洞方面效果顯著，其排序速度往往基于企業對其進行本地化配置的情況。

CVSS是強大的監測工具，但進行評分所依賴的所有量度都是很籠統的。為了達到最高的監測效率，需要根據具體環境對CVSS進行本地化配置。但現實是，大多數企業病不這樣做。它們直接使用Rapid7、Qualys、Tenable公司的信息，并不根據企業的特定環境和特定風險進行專門配置。

舉例而言，Rapid7公司在談及CVSS時直率地表示，CVSS基本量度只評估漏洞的潛在風險，在評估過程中并不需要收集時間和環境數據。因此，通過CVSS基本量度得出的漏洞評分并未考慮到全公司上下的整體情況。

從嚴格意義上來講，CVSS評分并不代表具體事件可能發生的概率。它只代表了公司被入侵成功的概率。

CXOWare公司董事長、《衡量與管理信息風險》一書合作者杰克·瓊斯(Jack Jones)在近期召開的“信息安全世界”大會上發表了一些有關CVSS的批評言論。

CVSS是很有潛力的工具，但人們對它知之甚少。大多數公司使用CVSS的方式都不對。

瓊斯并不是CVSS的唯一批評者。有些人認為，CVSS在將安全風險公式化方面做得并不好，而且其評估漏洞風險的過程可能過于復雜。

另一個問題在于，CVSS通常被用于漏洞評分，進而與風險度量模塊結合。結果是，這樣浪費了資源，公司沒辦法甄別出最重要的安全問題。

瓊斯對CVSS的主要疑慮來源于該系統的加權模式。CVSS的說明文檔中并不包括確定權重分配的內在邏輯，因此，用戶是在并不理解原理的前提下使用CVSS的。根據瓊斯的個人經驗，這些權重往往只適用于一小部分特殊情況，而對大多數安全事件沒有概括能力。如果考慮到描述上的歧義、限制范圍、應用情景，在有些情況下得到的CVSS評分可能完全沒有意義。既然用戶都在使用這些權重值，開發者應當至少提供一些合適的說明，以讓用戶在知情狀態下決定何時使用這些權值。

設計和實現情況是評價CVSS這樣的統計學工具的唯一指標。在近期發售的新書《統計學錯了》中，作者寫道：即使是在那些最智慧的使用者手里，統計學也經常是錯的。科學家們大范圍地錯誤使用統計學，令人吃驚。對于使用CVSS的用戶而言，我們應該再次強調此書作者的觀點。

CVSS分數計算器允許用戶對權重進行自定義設置，以適應用戶本公司的環境。不過，大多數公司還是使用標準的CVSS權重，并不會進行手動定制。事實上，每個公司都應當根據自身情況確定權重和分數，而不是使用官方提供的默認值。如果確認權重的工作量過重，可以從定制CVSS環境和時間變量開始進行調整，并把對權重的調整放到之后來做。

CVSS是強大的工具，提供大量的評估維度。對那些想要快速獲取關于漏洞的簡要評分的人而言，CVSS能夠勝任。但快速和簡要的評估并不能滿足信息安全工作人員的需要。每個公司都應該根據自身情況定制漏洞管理策略。概括性的評分可能有用，但無法被優化。

采取以下措施來讓CVSS更有效：

·理解公司暴露在風險中的方式。只有這樣才能理解CVSS，并將其和漏洞管理項目綁定在一起。

·確定公司的損失暴露情況。最終，修補漏洞缺陷這類努力的效果還是要反映到減少公司損失上。應當將注意力集中在漏洞對業務的影響上。舉例而言，在面向Web的系統上找的敏感信息泄露漏洞的優先級應當大于那些并不面向外界的漏洞。

·需要保證公司的漏洞評分并不基于CVSS默認設置。應當改變CVSS的環境和時間變量，以獲得完整的分數。

·如果公司同時遇到了兩個漏洞：一個CVSS得分很高，但還沒有被入侵;另一個CVSS得分很低，但已經被入侵。公司應當如何抉擇呢?公司越能把CVSS和漏洞管理項目綁定在一起，就越容易做出這類決斷。盡管兩家公司都使用CVSS，其對CVSS的利用深度可能完全不同。對CVSS進行定制，可以盡可能地發揮評級系統的功能，允許企業作出更明智的判斷。系統漏洞會影響到的范圍很大，包括系統本身及其支撐軟件，網絡客戶和服務器軟件，網絡路由器和安全防火墻等。

騰訊電腦管家可以修復windows操作系統漏洞，還可以智能篩選區分出高危漏洞補丁及功能性補丁，操作方法：騰訊電腦管家-工具箱-選擇“修復漏洞”。

總結

以上是生活随笔為你收集整理的cvss(cvss)的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。