100个攻防演练常见高危漏洞，你查了吗？

攻防演习前，防守方使用的漏洞检测方式主要包括两大主流途径：一是运用漏洞扫描工具，二是进行人工渗透测试。这两大方法可独立实施，亦可双管齐下，然而，每种方式背后都潜藏着特定局限性：

•漏洞扫描：无法深究漏洞的真实性和可利用性，导致防守方在分秒必争的攻防演练筹备期，面对如潮水般涌来的漏洞报告，难以精确区分出哪些是真正能被攻击者利用的真实漏洞。即使竭尽全力修补，难免有遗漏之处，最终可能成为攻防演练中被敌方利用的致命破绽，导致防线的崩溃与防守的失利。

•人工渗透测试：由于对实施人员专业能力要求较高，多数情况下防守方单位只能聘请成本高昂的第三方服务供应商。加之，人工测试的筹备与执行周期冗长，大型防守单位往往需要耗时数周乃至数月，期间网络环境的瞬息万变可能导致新漏洞涌现，使得测试几乎成为无止境的追赶游戏，难以在演练前达到完美闭环。

•即享专业红队服务体验，无需额外聘请专职渗透测试团队

奇安信加特林就如同防守方企业网络中的“智能红队”，防守方企业无需雇佣专业渗透测试团队，便可拥有经验丰富的专家渗透测试体验。加特林多年来积累了超6000个漏洞验证插件，广泛覆盖Web、中间件、数据库、大数据、网络设备、操作系统、智能设备、移动终端、工控设备等多种资产类型。能够有效检测出SQL注入、XXE、XSS、任意文件上传、任意文件下载、任意文件操作、信息泄露、本地文件包含、目录遍历、命令执行等各类型的高危漏洞，以及弱口令、配置错误等常见问题。奇安信加特林覆盖了近10年内90%已知的可远程利用漏洞，意味着使用加特林就等于拥有了一个具备深厚漏洞挖掘实力的专业团队，可帮助防守方在攻防演习前全面“排雷”，确保演习中阵地无懈可击。

•渗透过程全面可视，漏洞风险了然于心

奇安信加特林可以模拟攻击者，自动化执行完整的渗透测试流程——从信息收集，漏洞探测，到漏洞利用，乃至横向渗透，来评估攻击者一旦入侵网络可能会发生的情况，深入了解可能导致真正安全漏洞的薄弱环节。

整个渗透测试过程及关键风险点位置在加特林系统中全面可视化呈现。客户还可自动导出详细的测试结果报告，包括风险评估、缓解建议和成功攻击的潜在影响等。