检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
区域。 资源的价格 不同区域的资源价格可能有差异,请参见华为云服务价格详情。 如何选择可用区? 是否将资源放在同一可用区内,主要取决于您对容灾能力和网络时延的要求。 如果您的应用需要较高的容灾能力,建议您将资源部署在同一区域的不同可用区内。 如果您的应用要求实例之间的网络延时较低,则建议您将资源创建在同一可用区内。
报告类 如何下载网站扫描报告? 漏洞扫描报告模板包括哪些内容? 如何实现漏洞扫描报告中不展示基线检查结果? 漏洞管理服务提供的扫描报告加盖华为公章吗? 为什么不能进行通知设置? 漏洞管理服务支持查看并下载英文报告吗?
服务最佳实践指引 实践 描述 使用漏洞管理服务扫描具有多种访问校验的网站 本实践主要介绍了如何扫描具有复杂访问机制的网站漏洞。 手动探索文件录制指导 本实践提供了手动探索文件录制指导。 使用漏洞管理服务进行局域网主机扫描 本实践介绍了如何使用使用CodeArts Inspector服务对内网主机进行扫描。
漏洞管理服务的扫描IP有哪些? 如果您的网站设置了防火墙或其他安全策略,将导致漏洞管理服务的扫描IP被当成恶意攻击者而误拦截。因此,在使用漏洞管理服务前,请您将以下扫描IP添加至网站访问的白名单中: 119.3.232.114,119.3.237.223,124.70.102.147,121
设置私钥用户对应的密码,为了您的账号安全,您的密码会加密保存。 普通用户名 当开启“Root权限是否加固”时,才显示该参数。 普通用户密码 当“选择登录方式”为“密码登录”且开启“Root权限是否加固”,时,才显示该参数。 设置普通用户名对应的密码,为了您的账号安全,您的密码会加密保存。
漏洞管理服务是通过公网访问域名/IP地址进行扫描的,请确保该目标域名/IP地址能通过公网正常访问。 扫描IP加入网站访问白名单 如果您的网站设置了防火墙或其他安全策略,将导致漏洞管理服务的扫描IP被当成恶意攻击者而误拦截。因此,在使用漏洞管理服务前,请您将以下扫描IP添加至网站访问的白名单中: 119.3
华为云漏洞管理服务不同于一般的扫描工具,因为漏洞管理服务的扫描原理是基于自动化渗透测试(对被扫描的对象发送非恶意的“攻击报文”),因此需要确保用户扫描的网站的所有权是用户自己。 漏洞管理服务支持的认证方式 “免认证”方式。 华为云租户“一键认证” 。 华为云“一键认证”失败的原因 华为云一键认证的功能只针对两种用户:
Unauthorized 当前请求需要用户验证。 403 Forbidden 服务器拒绝执行该请求。 404 Not Found 服务器无法找到被请求的资源。 418 I'm a teapot 请求参数错误,服务器无法处理该请求。 500 Internal Server Error 请求失败,服务异常。
提供软件包/固件全面分析功能,基于各类检测规则,获得相关被测对象的开源软件、信息泄露、安全配置、安全编译选项等存在的潜在风险。 用户只需上传产品软件包或固件文件提交扫描任务,服务即可输出详尽专业的测试报告。 前提条件 已获取管理控制台的登录账号与密码。 本地已准备好待扫描的二进制软件包。 操作步骤 登录管理控制台。
再次输入用户名的密码。 -- Cookie登录 当配置的“Web页面登录”无法成功登录进业务系统时,可以尝试通过配置原始Cookie的方式进行扫描。 cookie值 输入登录网站的cookie值。 若没有cookie,请在“Header登录”中,通过添加自定义Header的方式进行登录扫描。
为什么任务扫描中途就自动取消了? 如果一个任务扫描到一半被系统自动取消了,可能有以下两个原因: 没有配置“网站登录设置”信息。 用户没有配置“网站登录设置”信息,漏洞管理服务无法进行深入的访问,任务就会自动取消。 建议设置“网站登录设置”信息后,重新扫描。 扫描过程中,出现了网络问题。
单击“资产信息”区域右上角的“网站”或“主机”,可查看对应资产的信息。 单击资产可以进入到相应的资产报告详情页。 资产别称 显示网站或主机的名称。 -- 漏洞总数 统计漏洞的总数,包括高危、中危、低危和提示的总数之和。 -- 漏洞等级 显示资产不同等级的风险个数,包括高危、中危、低危和提示。
安全漏洞报告中问题文件或者漏洞特征信息为空? 安全漏洞扫描结果中,我们会展示相关的问题文件及特征信息,但是在实际报告会发现存在问题文件或者漏洞特征信息为空的情况,如下图所示: 这是因为部分检查项是针对全局性的,不针对某个文件,所以存在问题文件跟漏洞特征信息为空情况,属于正常现象。 父主题:
需要在指定的时间内为漏洞管理服务续费。 漏洞管理服务在到期前续费成功,便可正常使用,且漏洞管理服务的资源使用不受影响。漏洞管理服务到期后的状态说明,请参见到期后影响。 续费操作仅适用于包年/包月计费模式,按需计费模式不需要续费,只需要保证账户余额充足即可。 续费相关的功能 包年/
当漏洞管理服务扫描完成后,您没有及时处理发现的漏洞。若您再次开始扫描,扫描完成后,漏洞列表中会展示该漏洞,且发现时间为初次发现该漏洞的时间,如图1所示。 您可以在“历史扫描报告”下拉列表中,选择与该漏洞“发现时间”相同日期的扫描任务,并在该扫描任务的“漏洞列表”中查询到该漏洞。 图1 漏洞列表 父主题:
更换分组”,弹出“更换分组”窗口。 在“已有分组”页签的“主机组”下拉列表中,选择已有的主机组,如图4所示。 图4 更换分组 单击“新建分组”页签,输入“主机组名称”,创建新的主机组,如图5所示。 图5 新建分组 在目标主机的“操作”列,单击“编辑”,在“编辑主机”窗口中也可新建或更换主机组。
在“移动应用安全”页面,单击对应任务的“文件名”。 进入扫描报告查看页面,如图2所示,各栏目说明如表2所示。 图2 移动应用安全扫描报告详情 表2 详情总览说明 栏目 说明 任务概况 显示目标任务的基本信息,包括: 基本信息:查看扫描文件大小、版本、特征库版本等基本信息。 证书信息:证书的发行者、使用者、摘要算法等信息。
应用基本信息检测:应用检测的基本信息和检测概况。 图1 应用基本信息 应用漏洞检测:您可以参考每个组件扫描出的漏洞详细信息修复漏洞。 图2 应用漏洞检测 应用权限信息检测 图3 应用权限信息 应用组件信息检测:查看软件的所有组件信息。 图4 应用组件信息 移动应用安全评测依据 图5 移动应用安全评测信息
任务部分检测项有数值,但任务状态显示失败? 如下图显示,任务检测结果中安全漏洞检测有告警,隐私合规问题数为0,任务状态为“失败”。 每个任务会进行多个检测项的检查,如基础安全检测、违规收集信息检测、隐私声明一致性检测等,整个检测过程分为应用解析、静态分析、动态运行三个阶段,因为应
单击对应任务操作列的“报告”,如图1所示。 单击“任务名称”也可以进入扫描报告页面。 图1 进入成分分析扫描报告入口 进入扫描报告查看页面,各栏目说明如表1所示。 当扫描任务成功完成后,单击右上角的“生成PDF报告”或“生成Excel报告”,生成扫描报告后,单击右上角的“导出PDF”,可以下载报告。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
