Nmap、OpenVAS、Nuclei 這類工具可以幫你快速盤點公開服務與已知風險,但掃描報告不會自動告訴你「現在最該修什麼」。你要看懂 Port、Service、CVE、CVSS、誤判與環境條件,才能把報告整理成工程師真的能處理的清單。
本文只討論自有或已取得授權系統的防禦檢查與報告解讀。掃描不應針對第三方系統、陌生 IP、未授權客戶環境或你不確定權限的主機執行。
你會先搞懂這幾件事
- Nmap、OpenVAS、Nuclei 分工不同,不應用同一個標準看結果。
- Port open 不等於一定被駭,但代表外部可以接觸到服務。
- Service version 是弱點比對線索,但不等於最終結論。
- CVE 是弱點編號,CVSS 是嚴重度評分,兩者都需要放回你的環境判斷。
- 報告最後要整理成修補清單,而不是直接把工具輸出丟給工程師。
掃描工具分工:Nmap、OpenVAS、Nuclei 分別適合什麼
| 工具 | 常見用途 | 新手該怎麼看 |
|---|---|---|
| Nmap | 盤點開放 Port、服務與版本 | 先看主機暴露了哪些入口 |
| OpenVAS / Greenbone | 弱點掃描與風險報告 | 看 CVE、CVSS、修補建議與可能誤判 |
| Nuclei | 依模板檢查 Web、服務與常見設定 | 看模板名稱、嚴重度、匹配證據與適用條件 |
你可以把 Nmap 當成「資產與入口盤點」,OpenVAS 當成「已知弱點報告」,Nuclei 當成「模板式快速檢查」。三者都需要人工判讀。
Port open 不等於一定被駭,但代表有曝露面
掃描報告如果看到 22/tcp open ssh、80/tcp open http、443/tcp open https,代表外部可以連到這些服務。這不代表一定有漏洞,但代表有人可以嘗試連線、登入或測試。
你可以先問:
- 這個 Port 是否真的需要對外開放?
- 是否可以限制來源 IP?
- 是否需要放在 VPN、內網或管理網段後面?
- 這個服務是否有身份驗證、HTTPS 與日誌?
- 如果服務被嘗試登入,有沒有告警?
對 Web 網站來說,80 與 443 很正常;對資料庫、Redis、管理後台來說,公開暴露通常需要更謹慎。
Service version 為什麼重要
Service version 會讓工具推測服務是否可能受已知弱點影響。例如:
- OpenSSH 版本
- Nginx / Apache 版本
- PHP 版本
- WordPress / 外掛 / 主題版本
- TLS / SSL library 版本
但版本判斷要小心。某些 Linux 發行版會把安全修補 backport 到舊版套件,因此表面版本看起來舊,實際可能已修補。你需要比對發行版安全公告、套件 changelog 或主機套件來源。
CVE 與 CVSS 是什麼
| 名稱 | 用途 | 看報告時的重點 |
|---|---|---|
| CVE | 已公開弱點編號 | 追蹤這個弱點的公開資料與修補版本 |
| CVSS | 弱點嚴重度評分 | 用來排序,但不能取代環境判斷 |
CVSS 分數高,代表弱點在一般條件下可能嚴重;但你的主機是否真的受影響,還要看服務是否存在、是否公開、是否需要登入、是否有修補、是否有額外防護。
為什麼同一個 CVE 在不同環境風險不一樣
同一個 CVE 可能在不同環境有完全不同優先順序:
- 服務沒有對外開放,風險通常比公開服務低。
- 服務需要內部帳號才能觸發,風險條件不同。
- 套件已經由發行版修補,但版本號沒有大幅改變。
- 服務位於測試機,沒有資料,但可能可作為跳板。
- 服務包含客戶資料、API Key 或信箱,影響面更高。
所以你不能只用「分數最高」排序,也要用「實際暴露面與資料影響」排序。
常見誤判來源
| 誤判來源 | 判讀方式 |
|---|---|
| Banner 版本不準 | 回到主機查套件版本與安全更新紀錄 |
| 發行版 backport 修補 | 查 distro security tracker 或 changelog |
| 模板匹配太寬 | 看 Nuclei/OpenVAS 的證據是否真的命中你的服務 |
| 服務被防火牆限制 | 確認來源 IP 限制是否真的存在 |
| 舊報告重複出現 | 比對掃描時間與修補時間 |
誤判不是忽略,而是要留下判斷理由,讓下一次報告不會一直重複追同一個問題。
如何整理成修補清單
把報告整理成這種表格,工程師比較能處理:
| 優先 | 項目 | 影響資產 | 判斷理由 | 修補方式 | 驗證方式 |
|---|---|---|---|---|---|
| P1 | 公開 SSH 允許密碼登入 | vps-01 | Internet exposed,登入服務 | 改金鑰登入、限制來源、Fail2Ban | 重新檢查 sshd 設定與登入日誌 |
| P1 | WordPress 外掛過舊 | example.com | 已知 CVE,公開網站 | 更新外掛、備份後測試 | 後台版本與掃描重跑 |
| P2 | PHP 版本過舊 | cPanel 主機 | 維護期接近結束 | 升級 PHP,測試網站 | cPanel MultiPHP 與網站測試 |
| P3 | Server banner 揭露版本 | Web server | 資訊揭露 | 視維護窗口調整 | 重新 curl header |
修補清單要包含「驗證方式」。沒有驗證,就很難確認問題真的處理完。
掃描報告可以怎麼交給工程師處理
不要只丟一份 PDF 或工具輸出。建議一起提供:
- 掃描日期與工具版本。
- 掃描範圍與授權說明。
- 受影響 IP、網域、服務名稱。
- 你已經確認的誤判與排除理由。
- 需要停機或維護窗口的限制。
- 目前備份狀態。
- 你希望先處理的優先順序。
如果你不確定怎麼整理,可以先看 VPS 弱點掃描前要先知道什麼? 建立基礎判斷框架。
需要協助判斷目前環境是否安全?
如果你已經有網站、VPS、cPanel、WordPress、AI 工具或掃描報告,但不確定哪些問題要先處理,可以到侃瑞科技官方網站取得初步判斷。