检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
成分分析的扫描对象是什么? 成分分析的扫描对象为产品编译后的二进制软件包或固件:Linux安装包、Windows安装包、Web部署包、安卓应用、鸿蒙应用、IOS应用、嵌入式固件等;不支持扫描源码类文件;详细操作参见添加二进制成分分析任务。 父主题: 二进制成分分析类
SQL注入、XSS、CSRF、URL跳转等。 信息泄露 端口暴露,目录遍历,备份文件,不安全文件,不安全HTTP方法,不安全端口。 Web注入漏洞 命令注入,代码注入,XPATH注入,SSRF注入,反序列化等注入漏洞。 文件包含漏洞 任意文件读取、任意文件包含、任意文件上传、XXE。 父主题: 产品咨询类
如何确认目的主机是否支持公钥认证登录和root登录? 执行如下命令查看配置文件是否开启公钥认证和root登录: egrep 'PubkeyAuthentication|PermitRootLogin' /etc/ssh/sshd_config 若出现如下回显则表示开启了公钥认证方式。
如何配置跳板机进行内网扫描? 使用跳板机进行内网扫描的网络示意图如图1所示。 图1 网络示意图 创建主机扫描任务,IP地址栏填写目标主机的内网IP。 添加跳板机配置。 配置的跳板机“公网IP”需与被测目标机的内网环境互通。 添加跳板机后,还需在该跳板机的ssh配置文件“/etc/ssh/sshd_c
加密套件是TLS/SSL协议中的一个概念,是指服务器和客户端所使用的加密算法组合。在TLS握手阶段,客户端将自身支持的加密套件列表告诉服务器,服务器根据自己支持的所有套件中选择一个作为之后所使用的加密方式。这些算法包括密钥交换算法、批量加密算法和消息认证码(MAC)算法,组合起来有数百种不同的密码套件
成分分析扫描无法识别组件版本常见原因有: 成分分析特征库不支持该开源软件版本。 用户引用的开源软件修改过源码,或使用时部分引用该软件功能,导致实际编译/发布文件中相关软件特征未达到工具识别阈值,造成开源软件无法识别或版本识别异常。 用户使用的开源软件包含被动依赖软件,该依赖软件可能为部分引用,造成软件无法识别或版本识别异常。
支持的服务版本 漏洞管理服务侧已正式停售二进制成分分析功能,用户无法新购,已购买二进制成分分析相关规格的用户不受影响,可继续使用至套餐包到期。 如您需要继续使用同款产品,请在开源治理服务CodeArts Governance中重新购买使用。 二进制成分分析扫描仅支持基础版和专业版,详细内容请参见表1。
成分分析的任务扫描失败怎么办? 任务扫描失败可能由多种原因造成,需要针对具体情况进行分析,常见的失败原因如下: 表1 常见失败原因分析 失败原因 解决方案 文件解析异常 文件本身存在不完整、结构异常等问题,导致服务无法正常解析。提供通用的压缩、固件、包格式文件重新创建扫描任务即可。
提供软件包/固件全面分析功能,基于各类检测规则,获得相关被测对象的开源软件、信息泄露、安全配置、安全编译选项等存在的潜在风险。 用户只需上传产品软件包或固件文件提交扫描任务,服务即可输出详尽专业的测试报告。 前提条件 已获取管理控制台的登录账号与密码。 本地已准备好待扫描的二进制软件包。 操作步骤 登录管理控制台。
参数说明 主机名称 用户需要添加的主机名称,必填参数。 IP地址 添加主机的公网IP地址,必填参数。 操作系统类型 主机的操作系统类型,支持Linux操作系统和Windows操作系统。 分组 主机的分组。 用户可根据实际情况选择已有分组或者是新建分组,新建分组的步骤如下: 单击“新建分组”,弹出“新增主机组”窗口。
支持的服务版本 移动应用安全扫描仅支持基础版和专业版,详细内容请参见表1。 表1 版本说明 服务版本 支持的计费方式 说明 基础版 免费 基础版主要为用户提供体验机会,仅支持安全漏洞扫描。基础版同样提供在线报告查看功能,查看内容仅限安全漏洞项,不包括隐私合规项。每个用户默认拥有5次基础版额度,扫描失败不扣费。
二进制成分分析类 成分分析的扫描对象是什么? 成分分析的主要扫描规格有哪些? 成分分析的扫描原理是什么,主要识别哪些风险? 成分分析的开源软件风险如何分析? 成分分析的安全配置类问题如何分析? 成分分析的信息泄露问题如何分析? 组件版本为什么没有被识别出来或识别错误? 成分分析如何购买?
成分分析扫描出的漏洞分布情况。 开始时间 成分分析开始的时间。 任务时长 成分分析扫描完成、失败或停止的所用时长。 操作 查看报告、停止、删除按钮。 在下拉框下拉选择任务状态,可根据任务状态筛选查看任务。 在输入框中输入文件名关键字或任务描述,可根据文件名关键字或任务描述筛选查看,可以和任务状态联合使用。
任务扫描失败可能由多种原因造成,需要针对具体情况进行分析,常见的失败原因如下: 表1 常见失败原因分析 失败原因分析 解决方案 应用文件解析异常 应用文件本身存在不完整、结构异常等问题,导致服务无法正常解析。提供正确的应用文件重新创建扫描任务即可。 应用文件上传中损坏 应用文件在传送过程中损坏,导致无法正确解析,重新创建扫描任务进行扫描即可。
在添加域名并完成域名认证后,请您参照本文档对具有复杂访问机制的网站(“www.example.com”)进行漏洞扫描。 手动探索文件录制指导 本最佳实践提供了手动探索文件的录制指导。使用漏洞管理服务企业版时,支持配置手动探索文件。 目前漏洞管理服务支持的手动探索文件格式为:BurpSuite site maps
为什么执行下载认证文件操作后没有看到下载的认证文件? 创建任务时为什么总是提示域名格式错误? 认证文件有什么用途? 为什么域名一键认证失败? 如何将认证文件上传到网站根目录? 如何对网站进行认证? 如何解决漏洞管理服务中已添加网站的“网站地址”错误的问题? 如何解决网站扫描失败,报连接超时的问题? 漏洞管理服务支持web_CMS漏洞吗?
漏洞管理服务的主机扫描IP有哪些? 如果待扫描的主机设置了访问限制,请添加策略允许漏洞管理服务的IP地址可以访问您的主机。 如果您使用了主机安全防护软件,请将漏洞管理服务访问主机的IP地址添加到该软件的白名单中,以免该软件拦截了漏洞管理服务访问用户主机的IP地址。 119.3.232
表1 详情总览说明 栏目 说明 任务概况 显示目标任务的基本信息,包括: 查看文件名、文件大小、平台版本、特征库版本等基本信息。 显示目标任务的组件检测、安全漏洞、安全配置、许可协议、信息泄露等检测概况,包括: 组件检测:被扫描的软件包所有的组件数量,有漏洞、未知版本和无漏洞组件数量占比。
通过分析软件包含的一些信息和特征来实现对该软件的识别、管理、追踪的技术。 PE(Portable Executable) 是Windows系统下的可执行文件的标准格式。 ELF(Executable and Linkable Format) 是一种Unix或Linux系统下的可执行文件
实践案例指引 表1 服务最佳实践指引 实践 描述 使用漏洞管理服务扫描具有多种访问校验的网站 本实践主要介绍了如何扫描具有复杂访问机制的网站漏洞。 手动探索文件录制指导 本实践提供了手动探索文件录制指导。 使用漏洞管理服务进行局域网主机扫描 本实践介绍了如何使用使用CodeArts
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
