【洞鉴】X-Ray 安全评估系统 问题排障

一、扫不出漏洞怎么办？

1. 排查网络连通性

Web 站点详情有请求和响应，如果没有请求或者请求不对劲，就存在网络问题。
检查引擎到扫描目标的网络连通性

三层连通性：ping 目标
四层连通性：telnet ip port
七层连通性：如果是 HTTP(S) 协议，再尝试 curl
CURL ERROR: Recv failure: Connection reset by peer - PHP Curl

尝试更换网络路径进行扫描（开热点）
如果目标是域名，检查引擎的 DNS 或 hosts 配置
用自己的洞鉴扫描目标
存在 WAF
抓包
也有可能只是单纯网络不稳定

2. 修改扫描任务参数

检查扫描任务的所有配置项（看有没有空参数、奇怪的参数）
浏览器爬虫、登录录制
关闭「跳过不存活主机」
端口范围改成 1-65535
用 TCP CONNECT 精准探测
开启高精度指纹探测

3. 观察扫描流程

信息收集开始
漏洞探测开始
主机发现
服务发现
信息收集结束
漏洞探测结束

二、扫描出的漏洞数量比XX厂家少很多

漏洞检测插件，启用 CVE 漏洞库基线扫描插件

可以这样解释：
扫描插件中覆盖的漏洞，是指通过 poc 进行验证的漏洞，目前插件覆盖了 1 万+ 的漏洞，其他漏洞是基于版本匹配进行扫描的。

版本匹配的漏洞对应的扫描插件是「CVE 漏洞库基线扫描插件」，这个插件在「扫描任务」里默认是不启用的。

基于版本匹配的检测准确性较低，可能漏洞已经打补丁修复了，但只要版本没变，就仍然认为有漏洞。也可以伪造版本信息，实际上漏洞仍然存在。

主机扫描，配置 TCP 端口 1-65535

三、被动 Web 扫描（代理），无法访问网站

总结一下如何解决代理问题：

判断目前状态：
1.如果浏览器显示的是访问页面超时，证明没有连接到代理，可能问题：

1.代理配置错误
2.浏览器机器访问不到代理

2.如果显示是洞鉴代理报错页面，比如 io timeout 之类的，证明目前已经能连接到代理了，可能问题：

1.引擎节点访问不到扫描目标

3.如果访问网站显示，网站不安全，证明是证书没有配置成功

对于1.1 如何排查？

在浏览器机器, 执行一下下面的命令，如果返回了页面内容，那么证明机器到代理直接没有问题，需要做的事情就是检查浏览器配置了。

http_proxy=http://user:passwd@ip:port 
https_proxy=http://user:passwd@ip:port curl 目标网址

对于1.2 如何排查？

1.在浏览器机器执行以下命令，如果 success， 证明能访问到代理端口

nc -v 代理ip 代理端口

2.如果访问不到应该看看端口有没有开启，在洞鉴引擎节点在的机器执行，如果 success， 证明代理已经开启，需要核对网络策略，导致2台机器不通

nc -v 代理ip 代理端口

3.如果没有开启，尝试关闭任务重现开启，重复上面步骤，还是不行，联系长亭技术支持人员

对于2.1，如何排查？

在洞鉴引擎节点在的机器执行， 如果返回了，重新尝试浏览器访问

docker exec -it xray-gungnir
curl 目标网址

如果没有返回

如果是域名，核查 dns 是否配置
核查一下网络配置，确认引擎节点是否真的能访问到目标网站

四、配置代理服务之后访问不了目标怎么办？

1.在任务详情页，或者 “系统管理” → “系统设置” → “扫描配置” 页下载 HTTPS 根证书
2.将该证书安装到系统证书中
3.信任该证书
4.重新访问网站

五、安装了 HTTPS 根证书，为什么还是访问不了 HTTPS 的网站？

可以先清一清浏览器缓存。以 chrome 为例，打开设置搜索 “缓存”，找到 “清除浏览数据” ，在弹窗中清一清缓存

六、主机扫描获取不到目标 IP？

情况1：存在主机为不存活主机

1.由于默认配置为跳过不存活的主机，但是有些防火墙配置了不响应icmp包，此时要关闭“跳过无响应的主机”功能开关。

情况2：存在主机为存活主机

1.确认引擎节点通信正常，与目标在同一网段--通过引擎节点设备进行ping扫描设备ip，看通信是否正常
2.是否目标网络环境较差，导致大量请求包丢失--通过引擎节点设备进行ping扫描设备ip，看通信是否正常