检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
成分分析的扫描对象是什么? 成分分析的扫描对象为产品编译后的二进制软件包或固件:Linux安装包、Windows安装包、Web部署包、安卓应用、鸿蒙应用、IOS应用、嵌入式固件等;不支持扫描源码类文件;详细操作参见添加二进制成分分析任务。 父主题: 二进制成分分析类
漏洞管理服务支持哪些安全漏洞检测? 安卓应用支持七大类漏洞检测:配置安全、加密安全、组件安全、签名证书安全、存储安全、权限安全、网络安全。 鸿蒙应用及服务支持七大类安全漏洞检测:权限安全、网络安全、签名证书安全、公共事件安全、Ability安全、存储安全、加密安全。 父主题: 移动应用安全类
下: 漏洞管理服务功能:远程漏洞扫描工具,不用部署在主机上,包括Web漏洞扫描、操作系统漏洞扫描、资产及内容合规检测、安全配置基线检查。从类似黑盒的外部视角,对目标主机网站等进行扫描,发现暴露在外的安全风险。 HSS功能:终端主机安全防护工具,部署在主机上,包括资产管理、漏洞管理
图1 应用安全任务列表 表1 应用安全任务列表参数说明 参数 参数说明 文件名 扫描文件名称。 应用包名 应用包名称。 应用类型 应用类型为安卓或鸿蒙。 任务描述 对任务信息进行说明。 任务状态 “排队中”:上传扫描对象后开始等待扫描。 “分析中”:任务正在进行扫描。 当任务处于“
图1 应用安全任务列表 表1 应用安全任务列表参数说明 参数 参数说明 文件名 扫描文件名称。 应用包名 应用包名称。 应用类型 应用类型为安卓或鸿蒙。 任务描述 对任务信息进行说明。 任务状态 “排队中”:上传扫描对象后开始等待扫描。 “分析中”:任务正在进行扫描。 当任务处于“
为什么域名一键认证失败? 为什么要进行域名认证 华为云漏洞管理服务不同于一般的扫描工具,因为漏洞管理服务的扫描原理是基于自动化渗透测试(对被扫描的对象发送非恶意的“攻击报文”),因此需要确保用户扫描的网站的所有权是用户自己。 漏洞管理服务支持的认证方式 “免认证”方式。 华为云租户“一键认证”
漏洞管理服务能修复扫描出来的漏洞吗? 漏洞管理服务不能修复扫描出来的漏洞。 漏洞管理服务是一款漏洞扫描工具,能为您发现您的资产存在的漏洞,不能进行资产漏洞修复,但漏洞管理服务会为您提供详细的扫描结果以及修复建议,请您自行选择修复方法进行修复。 父主题: 产品咨询类
成分分析特征库不支持该开源软件版本。 用户引用的开源软件修改过源码,或使用时部分引用该软件功能,导致实际编译/发布文件中相关软件特征未达到工具识别阈值,造成开源软件无法识别或版本识别异常。 用户使用的开源软件包含被动依赖软件,该依赖软件可能为部分引用,造成软件无法识别或版本识别异常。
开源软件风险:检测包中的开源软件风险,如已知漏洞、License合规等。 安全配置风险:检测包中配置类风险,如硬编码凭证、敏感文件(如密钥、证书、调试工具等)问题、OS认证和访问控制类问题等。 信息泄露风险:检测包中信息泄露风险,如IP泄露、硬编码密钥、弱口令、 GIT/SVN仓泄露等风险。
update kernel将kernel更新至最新版本后,漏洞管理服务扫描EulerOS仍报出大量kernel漏洞。这种情况不属于漏洞管理服务工具误报,而是由于升级kernel之后未及时重启并使用最新版本的kernel运行。kernel升级到最新版本后未重启并运行,实际上仍然使用未升
操作系统、中间件等版本漏洞信息和基线配置,实时同步官网更新的漏洞库匹配漏洞特征,帮助用户及时发现主机安全隐患。 移动应用安全:对用户提供的安卓、鸿蒙应用进行安全漏洞、隐私合规检测,基于静态分析技术,结合数据流静态污点跟踪,检测权限、组件、网络、等APP基础安全漏洞,并提供详细的漏洞信息及修复建议。
图1所示。 图1 添加扫描对象 成分分析的扫描对象为产品编译后的二进制软件包或固件:Linux安装包、Windows安装包、Web部署包、安卓应用、鸿蒙应用、IOS应用、嵌入式固件等;不支持扫描源码类文件。 支持上传.7z、.arj、.cpio、.phar、.rar、.tar、.xar、
成分分析会检测用户包中一些安全配置项是否合规,主要如下: 用户上传的软件包/固件中存在的敏感文件,如(密钥文件,证书文件,源码文件, 调试工具等)。 用户上传的软件包/固件中操作系统中的用户与组配置、硬编码凭证、认证和访问控制等配置类问题。若不存在操作系统,则不涉及。 安全配置类检查问题分析指导:
中的告警详情,如PDF报告,可以在结果概览中确认是否有信息泄露风险。如果有,则可以查看相应信息泄露明细,每个告警都会包含以下几个说明,针对工具扫描出的风险清单,用户可以基于自身实际使用情况判断是否有信息泄露风险,如存在,则采取不同措施屏蔽或修改即可。 问题类型:IP泄露/硬编码密码/Git地址泄露等。
也可以参考Mozilla SSL Configuration Generator自动生成的TLS/SSL配置来修改。 修复验证 用户可以自行通过在线检测网站或开源工具验证(搜索引擎搜索SSL检测)。 父主题: 网站扫描类
创建网站扫描任务或重启任务不成功时如何处理? 如何解决网站扫描失败报连接超时的问题? 更多 技术专题 技术、观点、课程专题呈现 云享专家知识推荐 分享技术书籍、常用工具等,帮助您了解技术,提升能力 跟唐老师学习云网络 唐老师将自己对网络的理解分享给大家 智能客服 您好!我是有问必答知识渊博的的智能问答机器人,有问题欢迎随时求助哦!
目业务中,让各责任组织及时了解各自的成本情况。 华为云成本中心支持通过多种不同的方式对成本进行归集和重新分配,您可以根据需要选择合适的分配工具。 通过关联账号进行成本分配 企业主客户可以使用关联账号对子客户的成本进行归集,从而对子账号进行财务管理。详细介绍请参考通过关联账号维度查看成本分配。
漏洞管理服务的扫描IP有哪些? 如果您的网站设置了防火墙或其他安全策略,将导致漏洞管理服务的扫描IP被当成恶意攻击者而误拦截。因此,在使用漏洞管理服务前,请您将以下扫描IP添加至网站访问的白名单中: 119.3.232.114,119.3.237.223,124.70.102.147,121
使用约束 网站扫描域名/IP 漏洞管理服务是通过公网访问域名/IP地址进行扫描的,请确保该目标域名/IP地址能通过公网正常访问。 扫描IP加入网站扫描白名单 如果您的网站设置了防火墙或其他安全策略,将导致漏洞管理服务的扫描IP被当成恶意攻击者而误拦截。因此,在使用漏洞管理服务前,
如何解决网站扫描失败,报连接超时的问题? 网站扫描任务失败,报错为连接超时,可能原因与解决办法如下。 您的被测网站不稳定或无法通过互联网访问,请使用Chrome等浏览器访问网站,确认是否正常访问。 您的网站设置了防火墙或其他安全策略,导致漏洞扫描的引擎IP被当成恶意攻击而拦截。请