本文讲述了使用云中的远程漏洞扫描服务的种种好处。这项服务可以由来自任何地方的任何系统加载，犹如第三方所管理的一个远程实体一般。使用开放源漏洞分析工具，可以帮助对云安全进行公开、全面审查。而漏洞分析仅仅是确保服务器安全的一部分。显而易见的是，准确定义漏洞评估政策则是沿着正确方向迈出的一大步。

　　1、介绍

　　对于任何一个安全政策来讲，漏洞评估都是一个很重要的方面。现在，针对互联网主机攻击越来越多地是以利益为驱动的，因此它们更狡猾分布也更广泛。

　　保护所有的网络服务器似乎有不少难度，但是黑客发起的大部分攻击却可以避免。

　　服务器配置不符合要求或者所使用的工具没有经过更新，容易导致大量的互联网服务器遭受攻击。因为，黑客们很容易找到并利用服务器漏洞。确保服务器升级至最新而且没有配置错误，这并不困难，但是这些工作却会因为时间限制而被忽略。

　　漏洞评估有助于发现服务器安全配置中出现的错误，也有助于挖掘出需要安装补丁的软件漏洞。

　　通过利用云中的远程漏洞评估，可以帮助你的组织实现规模效益。由于配置和管理评估工具不需要专业知识，你也可以对自己的组织进行漏洞评估。

　　2、日益严重的威胁情形

　　攻击自动化和访问利用漏洞的简单化，成为了服务器受到日益严重的威胁的主要原因。事实上，如果你想证明它有多么容易的话，可以访问http://www.milw0rm.com，选择最近的一个Web应用程序漏洞，然后，在Google中输入“Google Dork”——比如“powered by scriptname”，在五分钟时间内，看看所有网页上的服务器你能找到多少漏洞。

 

图1：扫描漏洞

　　注意，本文所讲仅仅是一种例子，并不含有个人因素成分。HackerTarget.com会充分披露各类漏洞，并在安全的时候给与开放。

　　3、漏洞存在的共同载体

　　3.1配置不当的服务器

　　混乱的文件权限，配置不当的Web或者Email服务器，或者当时间在流逝你还停留在临时的补丁更新的时候——配置不当的服务器到处都是，也常常因为时间限制没有过多考虑，使得即使作为系统管理员也会有看走眼的时候。

　　3.2软件没有获得更新

　　服务器操作系统和应用程序都需要更新，这不是可有可无的。使用Windows更新、Yum和Apt工具，可以帮助更新减少大量的主机漏洞，但是，仍然会有很多主机会被忽略。这只是个时间问题，当漏洞百出的服务被发现后，系统就会遭受损害。

　　3.3网页脚本

　　PHP与ASP应用程序和脚本是实现网页动态效果的有效方法，但是，当有可用安全更新的时候，像操作系统和软件这些都必须确保获得更新。关于这方面的一个很好例子就是WordPress博客软件，我们选择WordPress不是因为它特别不安全，而是因为它代表了一种广泛流行的脚本——曾在过去暴露出一些危险的安全漏洞。这些脚本需要持续不断地更新，因为它们很容易被忽略——直到你的博客受到攻击，并植入恶意页面攻击你的浏览用户。

　　3.4密码不够安全

　　在互联网上遨游必不可少的是使用强密码，查看主机和互联网的记录是件很简单的事情，也很容易发现系统大概会多久被蛮力攻击一次。蛮力攻击会危害到很多服务项目，包括ssh，rdp，ftp，web窗体和vnc。

　　3.5 密码重用

　　每次登录都使用不同的密码是不现实的，但是，处处使用同一个密码也是不明智的。经过调查发现，服务器用户总是会在配置不当的网上论坛上使用本该在Web邮件上使用的密码，而且也会在网页主机系统上使用相同的密码。