检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
成分分析的扫描原理是什么,主要识别哪些风险? 对用户提供的软件包/固件进行全面分析,通过解压获取包中所有待分析文件,基于组件特征识别技术以及各种风险检测规则,获得相关被测对象的组件BOM清单和潜在风险清单。主要包括以下几类: 开源软件风险:检测包中的开源软件风险,如已知漏洞、License合规等。
Configurations,如下图,确认漏洞是否影响当前使用的软件版本,如果当前使用的软件版本不在影响范围内,则初步说明漏洞可能不涉及/影响。 精细化分析:漏洞通常存在于某些函数中,可以通过社区中的漏洞修复补丁确认漏洞详情、涉及函数以及修复方式,如下图,用户可以结合自身软件对于相关开源软件功能的使用是否涉及相关漏洞
漏洞管理服务可以对网站文字和图片改变进行检测吗? 漏洞管理服务支持对网页的内容合规进行检测,不支持对网站文字和图片改变进行检测。 父主题: 产品咨询类
成分分析的信息泄露问题如何分析? 成分分析基于静态风险检测,会对用户上传的软件包/固件进行解压并分析其中的文件,识别包中是否存在信息泄露类风险,如敏感IP、GIT/SVN仓、弱口令、硬编码密钥等风险。 针对已识别的信息泄露类风险,可以通过查看导出报告中的告警详情,如PDF报告,可以在结果概览中确认是否
为什么扫描任务自动登录失败了? 漏洞管理服务在扫描过程中,会在用户提交的登录页面上查找登录输入框,以及登录按钮,登录成功后,还会在页面上识别退出登录的触发链接,避免登出。查找这些元素的成功率受影响于用户站点页面元素的复杂程度。 如果扫描任务自动登录失败,可能是因为您的网站需要登录
更新历史、获取安装包以及查看指导文档。 表1 SDK列表 编程语言 Github地址 参考文档 Java huaweicloud-sdk-java-v3 Java SDK使用指导 Python huaweicloud-sdk-python-v3 Python SDK使用指导 Go
支持通过标准包或者自定义安装等多种方式识别服务器的中间件及其版本,全方位发现服务器的漏洞风险。 内容合规检测应用场景 当网站被发现有不合规言论时,会给企业造成品牌和经济上的多重损失。 精确识别 同步更新时政热点和舆情事件的样本数据,准确定位各种涉黄、涉暴涉恐、涉政等敏感内容。 智能高效 对文本、图片内容进行上下文语义分析,智能识别复杂变种文本。
漏洞信息及修复建议。 二进制成分分析 对用户提供的二进制软件包/固件进行全面分析,通过解压获取包中所有待分析文件,基于组件特征识别技术、静态检测技术以及各种风险检测规则,获得相关被测对象的组件BOM清单和潜在风险清单,并输出一份专业的分析报告。 二进制成分分析特性已迁移至开源治理服务CodeArts
于多种不同能力的漏洞扫描插件,模拟用户真实浏览场景,逐个深度分析网站细节,帮助用户发现网站潜在的安全隐患。同时内置了丰富的无害化扫描规则,以及扫描速率动态调整能力,可有效避免用户网站业务受到影响。 主机扫描:经过用户授权(支持账密授权)访问用户主机,漏洞管理服务能够自动发现并检测
常见Web漏洞检测 √ √ √ √ 端口扫描 √ √ √ √ 自定义登录方式 √ √ √ √ Web 2.0高级爬虫 √ √ √ √ 网站指纹识别 √ √ √ √ 扫描任务管理 √ √ √ √ 漏洞查看及管理 √ √ √ √ CVE漏洞扫描 × √ √ √ 弱密码检测 × √ √ √
漏洞管理服务”,进入漏洞管理服务页面。 在“安全监测”页面,单击“新增监测任务”,进入新增监测任务入口。 在“新增监测任务”界面,请根据表1进行扫描设置,设置后如图1所示。 图1 监测任务的扫描设置 表1 扫描设置参数说明 参数 参数说明 任务名称 用户自定义。 目标网址 待扫描的网站地址或IP地址。 通过下拉框选择已认证通过的域名。
接起来如下所示。 https://iam.cn-north-1.myhuaweicloud.com/v3/auth/tokens 图1 URI示意图 为查看方便,在每个具体API的URI部分,只给出resource-path部分,并将请求方法写在一起。这是因为URI-scheme
漏洞管理服务可以跨区域使用吗? 漏洞管理服务支持跨云扫描吗? 漏洞管理服务支持多个账号共享使用吗? 单次扫描是否提供扫描报告和修复建议? 漏洞管理服务可以对网站文字和图片改变进行检测吗? 使用漏洞管理服务前需要备份数据吗? 漏洞管理服务如何判定SQL注入风险? 漏洞管理服务支持扫描SQL注入吗? Apache
漏洞管理服务”,进入漏洞管理服务页面。 在“资产列表 > 网站”页签,单击对应的网站信息“操作”列的“扫描”,页面右侧弹出“创建任务”窗口,后如图1所示。 图1 创建网站扫描任务 用户可以同时扫描多个网站。勾选多个网站后,单击列表左上方的“批量操作 > 批量扫描”,在页面右侧弹出的“创建任务
有风险的URL 最小长度:1 最大长度:256 risk_type String 业务风险类型: text - 不合规文字 image - 不合规图片 dead_link - 不合规链接(死链) dark_link - 不合规链接(暗链) business_risk - 业务风险 枚举值:
text_check 否 Boolean 是否进行网站内容合规文字检测 缺省值:true picture_check 否 Boolean 是否进行网站内容合规图片检测 缺省值:false malicious_code 否 Boolean 是否进行网站挂马检测 缺省值:false malicious_link
text_check Boolean 是否进行网站内容合规文字检测 缺省值:true picture_check Boolean 是否进行网站内容合规图片检测 缺省值:false malicious_code Boolean 是否进行网站挂马检测 缺省值:false malicious_link
text_check Boolean 是否进行网站内容合规文字检测 缺省值:true picture_check Boolean 是否进行网站内容合规图片检测 缺省值:false malicious_code Boolean 是否进行网站挂马检测 缺省值:false malicious_link
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
