performing-endpoint-vulnerability-remediation
通过基于风险评分对 CVE 进行优先级排序、部署补丁、应用配置变更和验证修复 来执行端点漏洞修复。适用于修复漏洞扫描发现的问题、响应严重 CVE 公告 或维护端点合规性与补丁管理 SLA 的场景。适用于涉及漏洞修复、CVE 补丁、 端点漏洞管理或安全修复部署的请求。
Best use case
performing-endpoint-vulnerability-remediation is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
通过基于风险评分对 CVE 进行优先级排序、部署补丁、应用配置变更和验证修复 来执行端点漏洞修复。适用于修复漏洞扫描发现的问题、响应严重 CVE 公告 或维护端点合规性与补丁管理 SLA 的场景。适用于涉及漏洞修复、CVE 补丁、 端点漏洞管理或安全修复部署的请求。
Teams using performing-endpoint-vulnerability-remediation should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/performing-endpoint-vulnerability-remediation/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How performing-endpoint-vulnerability-remediation Compares
| Feature / Agent | performing-endpoint-vulnerability-remediation | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
通过基于风险评分对 CVE 进行优先级排序、部署补丁、应用配置变更和验证修复 来执行端点漏洞修复。适用于修复漏洞扫描发现的问题、响应严重 CVE 公告 或维护端点合规性与补丁管理 SLA 的场景。适用于涉及漏洞修复、CVE 补丁、 端点漏洞管理或安全修复部署的请求。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 执行端点漏洞修复
## 使用场景
在以下情况下使用本技能:
- 修复扫描器(Nessus、Qualys、Rapid7)发现的漏洞
- 响应需要立即修补的零日 CVE 公告
- 维护补丁管理 SLA 合规性(严重漏洞 14 天内,高危漏洞 30 天内)
- 根据漏洞扫描结果构建优先修复计划
**不适用于**漏洞扫描本身(使用扫描工具)或应用层漏洞修复(使用 DevSecOps 流程)。
## 前置条件
- 漏洞扫描结果(CSV/XML 格式的 Nessus、Qualys 或 Rapid7 导出)
- 补丁管理平台(WSUS、SCCM、Intune 或第三方如 Automox)
- 目标端点或部署基础设施的管理员访问权限
- 生产端点补丁的变更管理流程
- 生产推广前补丁验证的测试环境
## 操作流程
### 步骤 1:导入并优先处理漏洞发现
```
优先级评分综合考虑:
1. CVSS 基础分(0-10)
2. EPSS(漏洞利用预测评分系统)- 被利用的概率
3. CISA KEV(已知被利用漏洞)目录成员资格
4. 资产重要性(受影响端点的业务影响)
5. 网络暴露程度(互联网可访问 vs. 内部)
优先级矩阵:
P1(严重 - 14 天 SLA):
- CVSS >= 9.0 或
- 列入 CISA KEV 或
- 在野外主动被利用 + CVSS >= 7.0
P2(高危 - 30 天 SLA):
- CVSS 7.0-8.9 且
- EPSS > 0.5(50% 被利用概率)
P3(中危 - 60 天 SLA):
- CVSS 4.0-6.9 或
- CVSS 7.0-8.9 且 EPSS < 0.1
P4(低危 - 90 天 SLA):
- CVSS < 4.0 且
- 无已知利用
```
### 步骤 2:确定修复操作
对于每个漏洞,确定适当的修复措施:
```
修复类型:
1. 补丁:应用供应商安全更新(最常见)
2. 配置变更:修改设置进行缓解(注册表、GPO)
3. 升级:更新到更新版本的软件
4. 变通方案:在补丁不可用时应用临时缓解
5. 补偿控制:网络分段、WAF 规则、EDR 规则
6. 接受风险:记录经 CISO 批准的已接受风险
```
### 步骤 3:通过 WSUS/SCCM 部署补丁
```powershell
# WSUS:批准补丁进行部署
# 1. 打开 WSUS 控制台
# 2. 导航到 更新 → 安全更新
# 3. 为目标计算机组批准所选 KB
# SCCM:创建软件更新组
# 1. 软件库 → 软件更新 → 所有软件更新
# 2. 选择所需 KB → 创建软件更新组
# 3. 在维护窗口内部署到目标集合
# Intune:创建 Windows 更新圈
# 设备 → Windows → 更新圈
# 配置:质量更新延迟 = 0 天(用于严重更新)
# 功能更新延迟 = 按策略
# PowerShell:强制 Windows 更新检查
Install-Module PSWindowsUpdate -Force
Get-WindowsUpdate -KBArticleID "KB5034441" -Install -AcceptAll -AutoReboot
# 验证补丁安装
Get-HotFix -Id "KB5034441"
systeminfo | findstr "KB5034441"
```
### 步骤 4:应用基于配置的修复
```powershell
# 示例:禁用 SMBv1(CVE-2017-0144 - EternalBlue)
Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -NoRestart
# 示例:在非打印服务器上禁用打印后台处理程序(CVE-2021-34527 - PrintNightmare)
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
# 示例:禁用 LLMNR(凭据窃取缓解)
# 通过 GPO:计算机配置 → 管理模板 → 网络 → DNS 客户端
# 关闭多播名称解析:已启用
New-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient" `
-Name EnableMulticast -Value 0 -PropertyType DWORD -Force
# 示例:限制 NTLM 身份验证
# 通过 GPO:安全设置 → 本地策略 → 安全选项
# 网络安全:限制 NTLM:审计/拒绝
```
### 步骤 5:处理零日漏洞(无补丁可用)
```
当供应商补丁尚未发布时:
1. 查看供应商公告中的变通方案
- Microsoft: https://msrc.microsoft.com/update-guide
- Adobe: https://helpx.adobe.com/security.html
- Linux:发行版安全跟踪器
2. 应用临时缓解措施:
- 禁用有漏洞的功能/服务
- 为利用尝试部署 EDR 检测规则
- 应用网络级阻断(WAF/防火墙规则)
- 限制对有漏洞应用程序的访问
3. 监控补丁发布:
- 订阅供应商安全邮件列表
- 监控 CISA KEV 新增条目
- 为下一个补丁星期二设置日历提醒
4. 记录有到期日期的变通方案
```
### 步骤 6:验证修复
```powershell
# 重新扫描已修复端点以确认漏洞关闭
# 选项 1:有针对性的漏洞扫描
nessuscli scan --target 192.168.1.0/24 --plugin-id 12345
# 选项 2:PowerShell 验证
# 检查特定 KB 是否已安装
$kb = Get-HotFix -Id "KB5034441" -ErrorAction SilentlyContinue
if ($kb) {
Write-Host "通过:KB5034441 已安装在 $(hostname)" -ForegroundColor Green
} else {
Write-Host "失败:$(hostname) 上缺少 KB5034441" -ForegroundColor Red
}
# 检查服务是否已禁用
$svc = Get-Service -Name Spooler
if ($svc.StartType -eq 'Disabled') {
Write-Host "通过:打印后台处理程序已禁用" -ForegroundColor Green
}
# 检查注册表配置
$val = Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" `
-Name SMB1 -ErrorAction SilentlyContinue
if ($val.SMB1 -eq 0) {
Write-Host "通过:SMBv1 已禁用" -ForegroundColor Green
}
```
### 步骤 7:报告和跟踪
生成修复状态报告:
```
修复指标:
- 漏洞总数:X
- 已修复:Y(Z%)
- 待处理(SLA 内):A
- 逾期(超过 SLA):B
- 已接受风险:C
- 平均修复时间(MTTR):D 天
- SLA 合规率:E%
```
## 关键概念
| 术语 | 定义 |
|------|------|
| **CVSS** | 通用漏洞评分系统;0-10 的漏洞严重性评分 |
| **EPSS** | 漏洞利用预测评分系统;CVE 在 30 天内在野外被利用的概率(0-1) |
| **CISA KEV** | CISA 已知被利用漏洞目录;联邦法规要求在规定时间内修补这些 CVE |
| **SLA** | 基于漏洞严重性的修复时间线服务级别协议 |
| **MTTR** | 平均修复时间;从漏洞发现到确认修复的平均天数 |
| **补偿控制** | 直接修复不可行时的替代安全措施 |
## 工具与系统
- **Nessus/Tenable.io**:漏洞扫描和修复跟踪
- **Qualys VMDR**:漏洞管理、检测和响应平台
- **Rapid7 InsightVM**:带实时仪表盘的漏洞评估
- **WSUS/SCCM/Intune**:Microsoft 补丁部署基础设施
- **Automox**:面向 Windows、macOS、Linux 的云原生补丁管理
- **CISA KEV 目录**: https://www.cisa.gov/known-exploited-vulnerabilities-catalog
## 常见误区
- **未测试直接打补丁**:先对测试组应用补丁。某些补丁会导致应用程序兼容性问题或蓝屏。
- **忽略 EPSS 评分**:EPSS 0.01 的 CVSS 9.8 漏洞可能比 EPSS 0.95(正在被主动利用)的 CVSS 7.5 漏洞更不紧迫。
- **未验证修复**:部署补丁不能保证安装成功。始终重新扫描以确认关闭。
- **将关键服务器排除在补丁之外**:"无法重启"的服务器会积累严重漏洞。安排维护窗口。
- **平等对待所有 CVE**:基于风险的优先级排序(CVSS + EPSS + 资产重要性 + 暴露度)比先修补所有严重漏洞更有效。Related Skills
testing-api-for-mass-assignment-vulnerability
测试 API 是否存在批量赋值(mass assignment,自动绑定)漏洞——攻击者可在 API 请求中附加额外参数,从而修改本不应被访问的对象属性。测试人员识别可写端点,向请求体注入未公开字段(role、isAdmin、price、balance),验证服务器是否在未过滤的情况下将这些字段绑定到数据模型。属于 OWASP API3:2023 Broken Object Property Level Authorization 范畴。适用于批量赋值测试、参数绑定滥用、自动绑定漏洞或 API 过度发布(over-posting)相关请求。
performing-yara-rule-development-for-detection
通过识别可执行文件中的唯一字节模式、字符串和行为指标,开发精准的 YARA 恶意软件检测规则,同时将误报率降至最低。
performing-wireless-security-assessment-with-kismet
使用 Kismet 通过被动射频监控进行无线网络安全评估,检测流氓接入点(Rogue AP)、隐藏 SSID、弱加密和未授权客户端。
performing-wireless-network-penetration-test
执行无线网络渗透测试,通过捕获握手包、破解 WPA2/WPA3 密钥、检测流氓接入点以及使用 Aircrack-ng 和相关工具测试无线网络分段,评估 WiFi 安全性。
performing-windows-artifact-analysis-with-eric-zimmerman-tools
使用 Eric Zimmerman 的开源 EZ Tools 套件(包括 KAPE、MFTECmd、PECmd、LECmd、JLECmd 和 Timeline Explorer)执行全面的 Windows 取证制品分析,解析注册表 hive、预取文件、事件日志和文件系统元数据。
performing-wifi-password-cracking-with-aircrack
在授权无线安全评估中捕获 WPA/WPA2 握手包,并使用 aircrack-ng、hashcat 和字典攻击进行离线密码破解, 以评估密码短语强度和无线网络安全状况。
performing-web-cache-poisoning-attack
在授权安全测试期间,通过未纳入缓存键的头部和参数毒化缓存响应,利用 Web 缓存机制向其他用户投递恶意内容。
performing-web-cache-deception-attack
通过利用 CDN 缓存层与源服务器之间的路径规范化差异,执行 Web 缓存欺骗攻击,从而缓存并获取敏感的已认证内容。
performing-web-application-vulnerability-triage
使用 OWASP 风险评级方法论对 DAST/SAST 扫描器的 Web 应用程序漏洞发现进行分类,区分真阳性和假阳性,并确定修复优先级。
performing-web-application-scanning-with-nikto
Nikto 是一款开源 Web 服务器和 Web 应用程序扫描器,可针对超过 7,000 个潜在危险文件/程序进行测试,检查超过 1,250 个服务器的过期版本,并识别超过 270 个服务器的版本特定问题。
performing-web-application-penetration-test
遵循 OWASP Web 安全测试指南(WSTG)方法论,对 Web 应用程序执行系统化安全测试,识别认证、授权、 输入验证、会话管理和业务逻辑中的漏洞。测试人员以 Burp Suite 作为主要拦截代理,结合手动测试技术 发现自动化扫描器遗漏的缺陷。适用于 Web 应用渗透测试、OWASP 测试、应用安全评估或 Web 漏洞测试等请求场景。
performing-web-application-firewall-bypass
使用编码技术、HTTP 方法操控、参数污染和载荷混淆绕过 Web 应用防火墙保护,将 SQL 注入、XSS 及其他攻击载荷穿透 WAF 检测规则。