检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
漏洞管理服务提供了基础版、专业版、高级版和企业版四种服务版本。 其中,基础版配额内的服务免费,部分功能按需计费;专业版、高级版和企业版需要收费。 具体操作请参见购买漏洞管理服务。 添加待漏洞扫描的资产 添加待扫描的网站资产或主机资产,具体操作请参见添加待漏洞扫描的网站或添加待漏洞扫描的主机。 创建扫描任务
多个账号共享使用 例如,您通过注册华为云创建了2个账号(“domain1”和“domain2”),如果您将“domain1”的权限委托给“domain2”,则“domain2”可以使用“domain1”的漏洞管理服务。 有关委托管理的详细操作,请参见创建委托。 多个IAM用户共享使用 例如,您
快速入门 用户指南 网站漏洞扫描 丰富的漏洞规则库,可针对各种类型的网站进行全面深入的漏洞扫描,提供专业全面的扫描报告 具有OWASP TOP10和WASC的漏洞检测能力,支持扫描22种类型以上的漏洞。 扫描规则云端自动更新,全网生效,及时涵盖最新爆发的漏洞。 支持HTTPS扫描 发布
版及以上版本扫描任务下载,请升级到专业版及以上版本体验。 图7 生成报告 (可选)修改“报告名称”。 单击“确定”,弹出前往报告中心下载报告的提示框。 单击“确定”,进入“报告中心”页面。 单击生成报告所在行的“下载”,可将报告下载到本地。 单击“下载报告”,查看详细的检测报告。
通过云审计服务,用户可以记录与漏洞管理服务相关的操作事件,便于日后的查询、审计和回溯。 开启了云审计服务后,系统开始记录漏洞管理服务资源的操作。 云审计服务管理控制台保存最近7天的操作记录,查看云审计日志操作请参考查看审计事件。 云审计服务支持的漏洞管理服务操作列表如表1所示。 表1 云审计服务支持的漏洞管理服务操作列表
attack漏洞,需要设置TLS配置。 登录Web应用防火墙控制台。 进入网站设置页面入口。 在目标网站所在行的“防护网站”列中,单击目标网站,进入网站基本信息页面。 在“TLS配置”所在行,单击修改TLS配置。 选择“TLS v1.2”和“加密套件2”,加密算法为EECDH+AESGCM:EDH+AESGCM。 图1
返回结果 状态码 请求发送以后,您会收到响应,包含状态码、响应消息头和消息体。 状态码是一组从1xx到5xx的数字代码,状态码表示了请求响应的状态,完整的状态码列表请参见状态码。 对于获取用户Token接口,如果调用后返回状态码为“201”,则表示请求成功。 响应消息头 对应请求
户发现网站潜在的安全隐患。同时内置了丰富的无害化扫描规则,以及扫描速率动态调整能力,可有效避免用户网站业务受到影响。 主机扫描 经过用户授权(支持账密授权)访问用户主机,漏洞管理服务能够自动发现并检测主机操作系统、中间件等版本漏洞信息和基线配置,实时同步官网更新的漏洞库匹配漏洞特征,帮助用户及时发现主机安全隐患。
通过分析软件包含的一些信息和特征来实现对该软件的识别、管理、追踪的技术。 PE(Portable Executable) 是Windows系统下的可执行文件的标准格式。 ELF(Executable and Linkable Format) 是一种Unix或Linux系统下的可执行文件
白名单的客户,如何将漏洞管理服务扫描IP添加至白名单。 如果您使用的是其他主机安全防护产品,请自行添加。 使用鲲鹏计算EulerOS(EulerOS with ARM)和Centos 8.0及以上版本的主机,SSH登录IP白名单功能对其不生效。 配置了SSH登录IP白名单的服务器
当主机扫描任务成功完成后,您可以生成漏洞扫描报告和等保合规配置报告,报告目前支持PDF格式和Excel格式。 漏洞管理服务目前仅企业版用户支持等保合规检测,如果您需要下载等保合规配置报告,请购买企业版。 前提条件 已成功完成主机扫描任务,即目标主机的“扫描状态”状态为“已完成”。 操作步骤
使用子账号进行扫描 如果您登录华为云使用的是子账号,请确保该子账号所在的用户组拥有Agent Operator和Security Administrator这两个权限,否则扫描时会提示委托授权失败。 使用企业账号(主账号进行扫描)(推荐) 如果用户使用的是主账号扫描还是提示委托失败,可能是因为委托数量到达了上限。
当您完成了添加网站和认证域名认证的基本操作后,可以根据自身的业务需求使用漏洞管理服务提供的一系列常用实践。 表1 常用最佳实践 实践 描述 扫描网站信息 扫描具有复杂访问机制的网站漏洞 如果您的网站“www.example.com”除了需要账号密码登录,还有其他的访问机制(例如,需
二进制成分分析 支持的服务版本 添加任务 管理任务 查看扫描详情 下载扫描报告 相关术语说明
理服务会开启耗时较短的扫描插件进行扫描。 “深度策略”:扫描的网站URL数量不限且漏洞管理服务会开启所有的扫描插件进行耗时较长的遍历扫描。 “标准策略”:扫描的网站URL数量和耗时都介于“极速策略”和“深度策略”两者之间。 开始时间 可选参数,设置开始扫描的时间,不设置默认立即扫描。
该任务为您介绍如何退订漏洞管理服务的专业版、高级版和企业版功能。 前提条件 已获取管理控制台的登录账号与密码。 如果您使用的是子账号,需要主账号对子账号赋予BSS Administrator操作权限后,才可以使用子账号执行退订操作。 操作步骤 登录管理控制台。 单击界面右上方的“费用”,进入“费用中心”界面,如图1所示。
该任务为您介绍如何退订漏洞管理服务的专业版、高级版和企业版功能。 前提条件 已获取管理控制台的登录账号与密码。 如果您使用的是子账号,需要主账号对子账号赋予BSS Administrator操作权限后,才可以使用子账号执行退订操作。 操作步骤 登录管理控制台。 单击界面右上方的“费用”,进入“费用中心”界面,如图1所示。
)。 应用基本信息检测:应用检测的基本信息和检测概况。 图1 应用基本信息 应用漏洞检测:您可以参考每个组件扫描出的漏洞详细信息修复漏洞。 图2 应用漏洞检测 应用权限信息检测 图3 应用权限信息 应用组件信息检测:查看软件的所有组件信息。 图4 应用组件信息 移动应用安全评测依据
在“二进制成分分析”页面,可看到全部添加过的任务。 单击对应任务操作列的“报告”。 单击“任务名称”也可以进入下载报告页面。 图1 进入成分分析扫描报告入口 单击右上角的“生成PDF报告”或“生成Excel报告”。 图2 生成扫描报告 扫描报告生成完成后,单击右上角的“导出PDF”,可以下载报告。
配额包中的二级域名配额全部升级为一级域名配额,可以直接将专业版升级为高级版。 该任务指导专业版用户将漏洞管理服务升级为高级版。 前提条件 已获取管理控制台的登录账号(拥有VSS Administrator与BSS Administrator权限)和密码。 已购买专业版的漏洞管理服务。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
