[研究]黑箱 Web 弱點掃描結果，會在該系統的 EDR 的監控結果顯示出來 ?

[研究]黑箱 Web 弱點掃描結果，會在該系統的 EDR 的監控結果顯示出來 ?

2025-08-28

黑箱 Web 弱點掃描結果，會在該系統的 EDR 的監控結果顯示出來 ?

ChatGPT 說：

這要分情境來看：

1. 黑箱 Web 弱點掃描 (Black-box Web Vulnerability Scan)

掃描工具只從「外部」去打該網站（例如 Burp Suite、Acunetix、Nessus、OWASP ZAP），就像一般使用者發送 HTTP/HTTPS 請求一樣。

這種情況下，通常不會直接在 EDR（Endpoint Detection & Response）端點偵測器上出現，因為 EDR 是裝在伺服器或工作站 OS 層級，監控的是：

• 可疑的進程行為
• 記憶體異常
• 檔案系統操作
• 惡意程式載入

但黑箱掃描大多只是在網頁層做「請求 / 回應」，屬於網路流量事件，不是端點行為。

2. 可能會被偵測的情況

雖然 EDR 本身未必顯示，但若有下列情境，仍可能被間接偵測：

• 伺服器端有 WAF / IDS / IPS：會看到異常請求、SQLi/XSS 攻擊嘗試。
• EDR 與 SIEM 整合：如果掃描導致系統資源暴增（CPU 飆高、IIS/Apache/Nginx Log 爆量），可能會被 EDR 當作可疑進程異常紀錄上報。
• 有 RASP (Runtime Application Self-Protection)：會攔截應用程式內的異常輸入，並回報安全事件。

3. 不會出現在 EDR 的典型狀況

• 純粹的外部 HTTP 掃描（例如檢查 robots.txt、常見路徑 fuzz、弱密碼登入測試），不會讓 EDR 看到。
• 除非掃描觸發了某些程式崩潰、下載檔案、或在伺服器內執行程式碼，才會進到 EDR 的可見範圍。

✅ 結論：

• 黑箱 Web 弱點掃描結果通常不會在 EDR 端出現，因為它監控的是 OS/端點行為，不是外部網頁請求。
• 如果要偵測黑箱掃描行為，主要依靠 WAF、IDS/IPS、SIEM 的流量與日誌分析，而不是單純靠 EDR。