检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
支持深入扫描 通过配置验证信息,可连接到服务器进行OS检测,进行多维度的漏洞、配置检测。 支持内网扫描 可以通过跳板机方式访问业务所在的服务器,适配不同企业网络管理场景。 弱密码扫描 主机或中间件等资产一般使用密码进行远程登录,攻击者通常使用扫描技术来探测其用户名和弱口令。 多场景可用
在调用漏洞管理服务API之前,请确保已经充分了解漏洞管理服务相关概念与知识。 终端节点 终端节点(Endpoint)即调用API的请求地址,不同服务不同区域的终端节点不同,您可以从地区和终端节点中查询服务的终端节点。 基本概念 账号 用户注册时的账号,账号对其所拥有的资源及云服务具有完全的访问权
网站扫描是否可以加/web访问? 可以。创建扫描任务页面,填写目标网址时可以加上网页路径。 例如:目标网址是“https://www.example.com”,扫描的网址加上具体的网页路径后“https://www.example.com/login.php”。 父主题: 网站扫描类
状态码 正常 返回值 说明 200 请求成功。 异常 状态码 编码 说明 400 Bad Request 服务器不能或不会处理该请求。 401 Unauthorized 当前请求需要用户验证。 403 Forbidden 服务器拒绝执行该请求。 404 Not Found 服务器无法找到被请求的资源。
修订记录 发布日期 修改说明 2023-09-07 第二次正式发布。 服务名称修改为“漏洞管理服务”。 2021-10-25 第一次正式发布。
自动续费 开通自动续费后,漏洞管理服务会在每次到期前自动续费,避免因忘记手动续费而导致资源被自动删除。 在包年/包月漏洞管理服务生命周期的不同阶段,您可以根据需要选择一种方式进行续费,具体如图1所示。 图1 漏洞管理服务生命周期 漏洞管理服务从购买到到期前,处于正常运行阶段,套餐状态为“正常”。
Images、Android sparse、Intel HEX、RockChip、U-Boot等固件。 支持上传的文件大小:不超过5GB。 平均扫描时间预估:根据不同的压缩格式或者文件类型扫描时长会有一定的差异,平均100MB/6min。 服务采用基于软件版本的方式检测漏洞,不支持补丁修复漏洞场景的检测。
在欧洲地区有业务的用户,可以选择“欧洲-巴黎”区域。 资源的价格 不同区域的资源价格可能有差异,请参见华为云服务价格详情。 如何选择可用区? 是否将资源放在同一可用区内,主要取决于您对容灾能力和网络时延的要求。 如果您的应用需要较高的容灾能力,建议您将资源部署在同一区域的不同可用区内。 如果您的应用要求实例之间
包年/包月 适用场景 适用于可预估资源使用周期的场景,价格比按需计费模式更优惠。对于长期使用者,推荐该方式。以下是一些适用于包年/包月计费模式的业务场景: 稳定业务需求:对于长期运行且资源需求相对稳定的业务,如企业业务系统等,包年/包月计费模式能提供较高的成本效益。 长期项目:对
应信息泄露明细,每个告警都会包含以下几个说明,针对工具扫描出的风险清单,用户可以基于自身实际使用情况判断是否有信息泄露风险,如存在,则采取不同措施屏蔽或修改即可。 问题类型:IP泄露/硬编码密码/Git地址泄露等。 文件路径:发现信息泄露的文件在包中的全路径。 上下文内容:发现风
查看漏洞明细、修复建议等信息。 工作原理 漏洞管理服务具有如下能力: Web网站扫描 采用网页爬虫的方式全面深入的爬取网站url,基于多种不同能力的漏洞扫描插件,模拟用户真实浏览场景,逐个深度分析网站细节,帮助用户发现网站潜在的安全隐患。同时内置了丰富的无害化扫描规则,以及扫描速
单击资产可以进入到相应的资产报告详情页。 资产别称 显示网站或主机的名称。 -- 漏洞总数 统计漏洞的总数,包括高危、中危、低危和提示的总数之和。 -- 漏洞等级 显示资产不同等级的风险个数,包括高危、中危、低危和提示。 -- 得分 得分最低的网站为最危险的网站,如果得分一样,则比较高危漏洞个数、中危漏洞个数..
漏洞管理服务支持多个账号共享使用吗? 漏洞管理服务支持多个账号或多个IAM用户共享使用,说明如下: 多个账号共享使用 例如,您通过注册华为云创建了2个账号(“domain1”和“domain2”),如果您将“domain1”的权限委托给“domain2”,则“domain2”可以使用“domain1”的漏洞管理服务。
保留期到期后,若您仍未支付账户欠款,那么创建的资产及历史扫描结果都将被释放,数据无法恢复。 图1 按需计费漏洞管理服务资源生命周期 华为云根据客户等级定义了不同客户的宽限期和保留期时长。 避免和处理欠费 欠费后需要及时充值,详细操作请参见账户充值。 您可以在“费用中心 > 总览”页面设置“可用额度
可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见API签名指南。 签名SDK只提供签名功能,与服务提供的SDK不同,使用时请注意。 父主题: 如何调用API
可以扫描产品上线前的局域网站点吗? 漏洞管理服务是通过公网扫描的,局域网内站点可以配置公网代理机,使其可通过公网访问。 父主题: 网站扫描类
如何获取网站cookie值? 如果您的网站除了需要账号密码登录,还有其他的访问机制(例如,需要输入动态验证码),则建议您设置cookie登录方式进行网站漏洞扫描,以便漏洞管理服务能为您发现更多安全问题。 设置cookie登录方式时需要输入网站的cookie值。 获取cookie值后,在创建扫
没有配置“网站登录设置”信息。 用户没有配置“网站登录设置”信息,漏洞管理服务无法进行深入的访问,任务就会自动取消。 建议设置“网站登录设置”信息后,重新扫描。 扫描过程中,出现了网络问题。 网络异常,漏洞管理服务将无法访问网站,任务就会自动取消。建议网络正常后,重新扫描。 父主题: 网站扫描类
WinRM使用的证书。 以Windows系统管理员身份运行cmd,并执行如下命令创建基于HTTPS的WinRM服务。 该步中需要使用CN与主机名相同的证书,如果不同,请先执行5.a生成证书。 winrm create winrm/config/Listener?Address=*+Transport=HTTPS
'PubkeyAuthentication|PermitRootLogin' /etc/ssh/sshd_config 若出现如下回显则表示开启了公钥认证方式。 PubkeyAuthentication yes 若出现如下回显则表示允许root登录。 PermitRootLogin yes 父主题:
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
