正在生成
详细信息:
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
标准策略、极速策略和深度策略有哪些区别? 漏洞管理服务提供支持以下3种网站扫描模式: “极速策略”:扫描的网站URL数量有限且漏洞管理服务会开启耗时较短的扫描插件进行扫描。 “深度策略”:扫描的网站URL数量不限且漏洞管理服务会开启所有的扫描插件进行耗时较长的遍历扫描。
如果用户需要快速扫描,可以在创建扫描任务时,“扫描策略”选择“极速策略”,如图1所示。 扫描策略分为:极速策略、标准策略、深度策略。选择深度扫描可以更深层次的发现漏洞,建议您优先选择“深度策略”。 图1 设置扫描模式 父主题: 网站扫描类
排查主机是否能正常访问,主机不能访问可能有以下几个原因: 主机所在的安全组或网络ACL设置了访问限制,请参见如何解决主机不能访问添加策略允许漏洞管理服务的IP网段访问您的主机。
如果您的网站设置了防火墙或其他安全策略,将导致漏洞管理服务的扫描IP被当成恶意攻击者而误拦截。
如果设置了访问限制,请添加策略允许漏洞管理服务的IP地址可以访问您的主机。如果您使用了主机安全防护软件,请将漏洞管理服务访问主机的IP地址添加到该软件的白名单中,以免该软件拦截了漏洞管理服务访问用户主机的IP地址。
扫描策略 三种扫描策略: 极速策略:扫描耗时最少,能检测到的漏洞相对较少。 标准策略:扫描耗时适中,能检测到的漏洞相对较多。 深度策略:扫描耗时最长,能检测到最深处的漏洞。 有些接口只能在登录后才能访问,建议用户配置对应接口的用户名和密码,漏洞管理服务才能进行深度扫描。
扫描IP加入网站扫描白名单 如果您的网站设置了防火墙或其他安全策略,将导致漏洞管理服务的扫描IP被当成恶意攻击者而误拦截。
您的网站设置了防火墙或其他安全策略,导致漏洞扫描的引擎IP被当成恶意攻击而拦截。请参见漏洞管理服务的扫描IP有哪些?为漏洞扫描引擎设置访问白名单。 父主题: 网站扫描类
扫描模式 扫描模式分为“极速策略”、“标准策略”和“深度策略”,建议选择“深度策略”模式。 上一次扫描时间 最近一次扫描的时间。 最近一次扫描情况 最近一次扫描任务的信息,包括得分和各等级的漏洞数量。单击分数或者“查看详情”,进入“扫描详情”界面查看扫描概况。 父主题: 安全监测
如果该用户组缺少相应角色权限,单击“授权”,进入“选择策略”步骤,模糊搜索“Tenant Administrator”或“VSS Administrator”权限的关键字,勾选相应策略。 单击“下一步”,设置最小授权范围。
标准策略、极速策略和深度策略有哪些区别? 已添加的域名是否可以删除? 如何查看漏洞管理服务扫描出的网站结构? 如何获取网站cookie值? 网站cookie值发生变化时,如何进行网站漏洞扫描? 如何处理域名认证时提示“域名已被其他人使用”? 漏洞管理服务可以扫描域名下的项目吗?
扫描模式 三种扫描模式: 极速策略:扫描耗时最少,能检测到的漏洞相对较少。 标准策略:扫描耗时适中,能检测到的漏洞相对较多。 深度策略:扫描耗时最长,能检测到最深处的漏洞。
扫描范围 漏洞管理服务主动爬虫会通过自动填充form表单等策略来尝试发现更多页面。 业务对随机值响应不一致导致了扫描范围不一致。 响应信息 响应信息是漏洞管理服务判断漏洞是否存在的决定性因素。
多个IAM用户共享使用 例如,您通过注册华为云创建了1个账号(“domain1”),且由“domain1”账号在IAM中创建了2个IAM用户(“sub-user1a”和“sub-user1b”),如果您授权了“sub-user1b”用户漏洞管理服务的权限策略,则“sub-user1b
图1 用户授权 授权方式选“继承所选用户组的策略”,用户组勾选具有Tenant Administrator或VSS Administrator权限的用户组。 图2 选择授权方式 单击“确定”,完成授权。 父主题: 二进制成分分析类
后面扫不出来的原因,可能是网站已修复,或已通过Web应用防火墙等防护措施解决,另外由于该漏洞POC验证相对复杂,涉及较多网络交互,网络环境因素如安全组策略加固等变动,也可能导致漏洞不能稳定扫出来,但建议客户还是尽快排查处置,彻底规避风险。
用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限: 在“服务列表”中选择除漏洞管理服务外(假设当前策略仅包含“VSS Administrator”)的任一服务,若提示权限不足,表示“VSS Administrator”已生效。 父主题: 权限管理
隐私合规 显示不规范隐私的详细数据分析,包括: 不规范隐私声明使用 无隐私策略声明 同意不清晰 隐私声明默认勾选同意 用户同意隐私政策之前申请隐私权限 用户同意隐私政策之前收集敏感信息 不合理权限申请 不给权限不让用 过度索取权限 违规使用用户个人信息 超频率读取用户数据 应用在后台读取用户隐私数据
漏洞管理服务权限 默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。 漏洞管理服务部署时通过物理区域划分,为项目级服务。
详细的测试报告 详尽的在线测试报告,一键即可下载,报告提供包括问题代码行、修复建议、调用栈信息、违规问题场景截图、关联隐私策略片段等信息。 支持第三方SDK隐私声明解析 针对第三方SDK隐私声明存在“表格”与“外链”两种展示方式。