检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
网站安全扫描的结果里显示扫描的url不全。 可能的原因: 扫描过程中没有登录成功。 处理方法: 用户名密码自动登录无法保证所有网站100%登录,和用户页面实现有关,推荐使用cookie登录 ,可以使用插件获取cookie的方式。详情参考网站登录设置。如果还是url不全可以使用探索文件的形式进行扫描。
解决方案工作台安全扫描和性能压测时发起请求的网络ip分别是哪些? 安全扫描ip详情见https://support.huaweicloud.com/vss_faq/vss_01_0057.html 性能压测ip地址为: 119.3.163.10 120.46.156.66 119
助用户发现网站潜在的安全隐患。同时内置了丰富的无害化扫描规则,以及扫描速率动态调整能力,可有效避免用户网站业务受到影响。 前置条件: 如果您的网站设置了防火墙或其他安全策略,将导致安全漏洞扫描的扫描IP被当成恶意攻击者而误拦截。因此,在执行安全自动化用例前,请您将以下扫描IP添加至网站访问的白名单中:
助用户发现网站潜在的安全隐患。同时内置了丰富的无害化扫描规则,以及扫描速率动态调整能力,可有效避免用户网站业务受到影响。 前置条件: 如果您的网站设置了防火墙或其他安全策略,将导致安全漏洞扫描的扫描IP被当成恶意攻击者而误拦截。因此,在执行安全自动化用例前,请您将以下扫描IP添加至网站访问的白名单中:
【新建】或【编辑】安全自动化页面进行配额购买。配额购买类型: 漏洞扫描服务类型:用于进行网站扫描和主机扫描; 二进制成分分析类型:用于进行二进制扫描。 图8 安全扫描配额 图9 购买安全扫描配额入口 网站扫描 Web网站扫描采用网页爬虫的方式全面深入的爬取网站url,基于多种不同
看用户用的哪种方式配置,就看下哪个端口是否开启: 基于HTTPS的WinRM(5986端口),基于HTTP的WinRM(5985端口)。3389端口不知道要不要开放。 没有开启的话,就看下主机安全组,如何查看安全组可看1.2的1.1.3部分内容。 5 、查看主机安全组和主机安全(HSS)的配置 后面的配置
动化用例步骤 图1 可能的原因二: 压测对象没有添加压测工具ip为白名单,导致请求没拦截。 处理方法二: 检查压测对象的相关安全设备(例如安全组、主机安全等)是否拦截压测工具ip,需要对压测工具ip开放白名单。 性能压测ip地址为: 119.3.167.0/24 123.249.35
ie登录”的方式,并填入对应的cookie值。 如果您的网站登录之后不仅设置了cookie,还设置了storage,只提供cookie无法使漏洞管理服务正常登录网站,建议您通过浏览器插件“Cookie Getter”获取网站cookie、local storage和session
率、支持视频接入并发路数等。 安全测试 手工安全测试用例 1)执行33条手工安全测试用例。 2)API商品使用token或者动态签名方式认证,手工用例中的会话、密码相关用例不涉及。 WEB 扫描 1)基于解决方案工作台,完成安全自动化扫描用例(安全自动化用例可通过“验证中心”使用
设置性能指标参数 点击“安全指标参数”的选框,可以对安全指标参数进行设置。如果本次不加载新的安全测试用例或指标,选择“否“跳过。 “是否创建安全指标参数”:默认选择为“是”,默认选择会在加载用例的同时,创建最新的安全扫描的指标参数;如果您本次无需加载安全扫描(包含主机扫描、web
自动化用例预期的成功率在哪里设置? 可以在对应的自动化类型下点击【指标参数】,设置指标参数,如性能自动化的成功率、安全自动化的扫描漏洞数等。 图1 指标参数设置 父主题: 验证中心
联营方案设计完成后,为什么自动生成多个需求草稿? 报告会签中的测试方公司名来源。 主机扫描提示从vss获取扫描结果超时。 二进制扫描的二进制包上传后有效期多久? 网站安全扫描的结果里显示扫描的url不全。 性能自动化的全局变量和局部变量区别? 用例设计人看不到用例设计提交按钮? 性能压测用例调试失败,提示访问url超时。
点击“用例管理”查看安全手工测试用例,点击“用例名称”可查看用例详情。 页面按钮功能介绍: “新建”:可以新建测试用例 “导入”:可以填写excel用例模板后导入测试用例 “更多”:可以展开下拉框,进行下拉框内的一系列操作。 “编辑”:可以编辑修改测试用例的内容(安全手工用例无法编辑)
手工用例 需求创建后,用例设计责任人即可开始设计用例,用例分为手工用例、功能自动化用例、API自动化用例、性能自动化用例、以及安全自动化用例。 手工用例新建 用例设计人进入工作空间,击左侧导航栏【验证中心】->【用例管理】->【新建】; 图1 用例管理页面-手工用例 新建页面填写
工作负载监控:点击参考操作指导。 执行安全自动化用例 安全自动化测试用例包含“Web扫描(网站扫描)”、“主机扫描”、“二进制扫描”三类,。 Web扫描的操作指导点击参考:Web扫描。 主机扫描的操作指导点击参考:主机扫描。 二进制扫描的操作指导点击参考:二进制扫描。 安全自动化常见问题可参考安全扫描类FAQ。
Web扫描 采用网页爬虫的方式全面深入的爬取网站url,基于多种不同能力的漏洞扫描插件,模拟用户真实浏览场景,逐个深度分析网站细节,帮助用户发现网站潜在的安全隐患。 二进制扫描 对用户提供的二进制软件包/固件进行全面分析,通过解压获取包中所有待分析文件,基于组件特征识别技术、静态检测技术
提交构建申请 伙伴需要使用主账号在开发者空间进行构建申请,https://developer.huaweicloud.com/console/app/build,登录后点击创建构建的【立即申请】 图1 申请构建 按钮进入到申请界面,填写必填信息 图2 构建申请信息 填写完成后,点击【提交】
系统角色 无 安全自动化权限要求 以下安全自动化权限配置要求仅针对2023年03月01日之前在解决方案工作台上创建了需求、且需要使用安全自动化的用户;如果您的测试需求是在3月1号及以后创建,可忽略本小节。 解决方案工作台集成了VSS,为用户提供安全自动化测试,含主机扫描、网站扫描、二进
Service,简称VSS)是针对网站、主机、移动应用、软件包/固件进行漏洞扫描的一种安全检测服务,目前提供通用漏洞检测、漏洞生命周期管理、自定义扫描多项服务。扫描成功后,提供扫描报告详情,用于查看漏洞明细、修复建议等信息。 解决方案工作台集成了VSS,为用户提供安全自动化测试,含主机扫描、网站扫描、二进
联营/先进云/伙伴Lead场景,支持性能自动化执行完毕后自动获取CCE/ECS内存、CPU使用率,并自动填充在测试报告中 -- 安全自动化测试不通过的扫描结果支持填写处理说明 联营/先进云/伙伴Lead场景,安全自动化测试不通过的扫描结果支持用例执行人填写处理说明,并展示在测试总结中 -- 2023年5月 序号
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
