检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
漏洞扫描服务-成长地图 | 华为云 漏洞管理服务 漏洞管理服务(CodeArts Inspector)是针对网站、主机、移动应用、软件包/固件进行漏洞扫描的一种安全检测服务,目前提供通用漏洞检测、漏洞生命周期管理、自定义扫描多项服务。扫描成功后,提供扫描报告详情,用于查看漏洞明细、修复建议等信息。
漏洞管理服务支持哪些安全漏洞检测? 安卓应用支持七大类漏洞检测:配置安全、加密安全、组件安全、签名证书安全、存储安全、权限安全、网络安全。 鸿蒙应用及服务支持七大类安全漏洞检测:权限安全、网络安全、签名证书安全、公共事件安全、Ability安全、存储安全、加密安全。 父主题: 移动应用安全类
规格入口。 在升级规格界面设置配额,如图1所示。 图1 专业版配额扩容 在“扫描配额包”栏,单击增加域名扫描配额包数量。 “扫描配额包”即配置的域名/IP地址个数,目前支持的范围为1-100。 选择的“扫描配额包”必须大于当前拥有的域名配额。 每个扫描配额包默认包含1个二级域名或公网IP:端口。
长的遍历扫描。 “标准策略”:扫描的网站URL数量和耗时都介于“极速策略”和“深度策略”两者之间。 有些接口只能在登录后才能访问,建议用户配置对应接口的用户名和密码,漏洞管理服务才能进行深度扫描。 父主题: 网站扫描类
信息。 显示目标任务的组件检测、安全漏洞、安全配置、许可协议、信息泄露等检测概况,包括: 组件检测:被扫描的软件包所有的组件数量,有漏洞、未知版本和无漏洞组件数量占比。 安全漏洞:超危、高危、中危、低危各个级别漏洞数量占比。 安全配置:展示通过、失败、不涉及的检测结果数量占比。
如果扫描任务自动登录失败,可能是因为您的网站需要登录才能访问,请检查您是否通过漏洞管理服务对您的网站进行了正确的网站登录信息配置,请参照以下操作步骤设置网站登录方式或者修改网站登录配置信息。 登录管理控制台。 在页面上方选择区域或项目后,单击,选择“开发与运维 > 漏洞管理服务”,进入漏洞管理服务管理界面。
查看漏洞列表信息 密钥和信息泄露问题列表 图8 查看密钥和信息泄露信息 安全编译选项问题列表 图9 查看安全编译选项信息 安全配置检查列表 图10 查看安全配置检查列表 父主题: 二进制成分分析
add the domain name. 创建域名失败 请检查域名配置 418 VSS.00006010 Failed to update the domain information. 更新域名失败 请检查域名配置 418 VSS.00006012 The domain name
修复 在 TLS/SSL配置项中去除漏洞管理服务扫描出的弱加密套件(详细请参见扫描报告漏洞信息“响应详情”中的内容)。 当用户判断弱加密套件为业务需要且风险可控时,则可忽略该漏洞。 配置修改方法 通常Web应用的TLS/SSL协议由Web容器配置(常见的Tomcat/Ngin
网站资产列表参数说明 参数 参数说明 网站名称 网站的名称。 网站地址 网站的地址。 登录认证 根据网站配置的登录方式自动生成。 取值包括: Web登录 Cookie认证 Header认证 如果未配置登录方式,则显示为“--”。 扫描状态 网站的扫描状态。 取值包括: 全部状态 进行中 已完成
开通自动续费后,还可以手动续费该漏洞管理服务。手动续费后,自动续费仍然有效,在新的到期时间前的第7天开始扣款。 自动续费的到期前7日自动扣款属于系统默认配置,您也可以根据需要修改此扣款日,如到期前6日、到期前5日等等。 更多关于自动续费的规则介绍请参见自动续费规则说明。 前提条件 请确认包年/包月漏洞管理服务还未到期。
网站管理 创建网站资产 删除网站资产 获取网站资产 认证网站资产 更新网站配置 获取网站配置 父主题: API
everyday threedays everyweek everymonth task_config 否 task_config object 扫描任务配置 表5 task_config 参数 是否必选 参数类型 描述 scan_mode 否 String 扫描模式: fast - 快速扫描 normal
125折的优惠。 假设您计划购买漏洞管理服务专业版,扫描配额包选择1个,购买时长1个月,在价格计算器页面底部,您将看到所需的配置费用。 图1 包年/包月配置费用示例 计费周期 包年/包月漏洞管理服务的计费周期是根据您购买的时长来确定的(以UTC+8时间为准)。一个计费周期的起点是
在目标网站所在行的“安全等级”列,单击“查看报告”,进入扫描任务详情页面,如图6所示。 图6 查看扫描任务详情 单击“生成报告”,弹出“生成报告配置”窗口。 扫描报告仅支持专业版及以上版本扫描任务下载,请升级到专业版及以上版本体验。 图7 生成扫描报告 生成的扫描报告会在24小时后过期
计费FAQ 如何为漏洞管理服务续费? 如何退订漏洞管理服务? 退订重购漏洞管理服务后,是否需要重新配置域名信息? 购买专业版漏洞管理服务的注意事项有哪些? 如何减少漏洞管理服务配额?
使用漏洞管理服务进行网站漏洞扫描 添加待漏洞扫描的网站 配置网站登录信息 创建网站漏洞扫描任务 查看网站漏洞扫描详情 生成并下载网站漏洞扫描报告 删除网站
在左侧导航树中,选择“安全监测”,进入“安全监测”界面。 在目标监测任务所在行的“操作”列中,单击“编辑任务”,如图1所示。 图1 编辑监测任务 根据需求,重新配置监控信息和扫描项设置。 父主题: 使用漏洞管理服务进行安全监测
成分分析的扫描对象是什么? 成分分析的主要扫描规格有哪些? 成分分析的扫描原理是什么,主要识别哪些风险? 成分分析的开源软件风险如何分析? 成分分析的安全配置类问题如何分析? 成分分析的信息泄露问题如何分析? 组件版本为什么没有被识别出来或识别错误? 成分分析如何购买? 成分分析的资源包为什么购买失败了?
w.example.com”)进行漏洞扫描。 手动探索文件录制指导 本最佳实践提供了手动探索文件的录制指导。使用漏洞管理服务企业版时,支持配置手动探索文件。 目前漏洞管理服务支持的手动探索文件格式为:BurpSuite site maps
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
