检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
网站安全扫描的结果里显示扫描的url不全。 可能的原因: 扫描过程中没有登录成功。 处理方法: 用户名密码自动登录无法保证所有网站100%登录,和用户页面实现有关,推荐使用cookie登录 ,可以使用插件获取cookie的方式。详情参考网站登录设置。如果还是url不全可以使用探索文件的形式进行扫描。
修改了用例,再提交报告审核的时候重新没有生成报告,提交的报告是最新的内容吗? 不是,提交报告审核并不会自动生成报告,需要重新点击【生成报告】后才会更新。 父主题: 验证中心
报告管理 支持在线生成项目报告&提交报告进行审核。您可以在用例管理界面点击“预览报告”,查看该项目的验收详情并生成验收文档。所有验收文档均可在报告管理处查看&下载。 图1 报告预览入口 报告生成 报告预览界面支持一键生成验收文档,支持修改项目报告名称、支持新增测试工具、支持填写项目总结、支持上传附件。
结论,示例“有xx个超危漏洞,xx个高危漏洞通过华为安全工程师评审,可以当做误报/遗留漏洞”。 生成报告:一键生成测试报告,测试报告中会将上方“一键生成测试总结”的内容也生成到报告中。点击下方生成的 Word 和 Excel 格式的报告,可以下载查看报告的内容。 上传附件:上传的附件将放置到生成的报告中,非必填。
一审核人驳回报告则需要重新提交报告审核。 测试报告下载 报告生成后,空间内的成员点击左侧导航栏中的“验证中心”,在此下拉框中,选择“报告管理”,在报告管理页面点击“下载”按钮,即可查看测试报告 图6 测试报告下载 报告合并&合并报告列表 同一个方案下的报告,可以在报告列表进行合并,操作步骤:
提交报告审核 伙伴测试工程师将所有的测试用例执行完毕,闭环所有问题,自检满足本次方案测试需求和认证要求后,提交报告审核。 详细操作步骤点击查看“提交报告审核”。 父主题: 认证测试操作指导
额购买。配额购买类型: 漏洞扫描服务类型:用于进行网站扫描和主机扫描; 二进制成分分析类型:用于进行二进制扫描。 图8 安全扫描配额 图9 购买安全扫描配额入口 网站扫描 Web网站扫描采用网页爬虫的方式全面深入的爬取网站url,基于多种不同能力的漏洞扫描插件,模拟用户真实浏览场
便您识别网站域名的名称。 扫描模式 快速扫描模式:扫描耗时最短,能检测到的漏洞相对较少; 标准扫描模式:扫描耗时适中,能检测到的漏洞相对较多; 深度扫描模式:扫描耗时最长,能检测到最深处的漏洞。联营商品类型的方案要求使用深度扫描模式。 网站登录设置:认证网站域名并设置网站登录信息。
主机扫描提示从vss获取扫描结果超时。 请尝试在用例详情中的执行结果里点击【更新报告】按钮,如果还是不能获取扫描结果请联系技术人员。 图1 用例详情 父主题: 验证中心
项目报告 跳转到报告详情页面,支持查看用例执行情况,支持填写项目总结,支持一键生成验收报告。 图1 报告详情页 父主题: 操作
便您识别网站域名的名称。 扫描模式 快速扫描模式:扫描耗时最短,能检测到的漏洞相对较少; 标准扫描模式:扫描耗时适中,能检测到的漏洞相对较多; 深度扫描模式:扫描耗时最长,能检测到最深处的漏洞。联营商品类型的方案要求使用深度扫描模式。 网站登录设置:认证网站域名并设置网站登录信息。
报告的生成名称规则是什么? 联营认证、伙伴lead、先进云软件,标准化测试报告名称生成的默认规则:xxx公司-方案名称-xxx测试报告, 其他类型的标准化测试报告名称生成的默认规则是:方案名称-需求名称-测试报告,支持在生成报告时修改报告名称。 图1 报告预览 父主题: 验证中心
windows系统主机扫描提示登陆未成功。 原因可能如下: 1 、主机系统是否支持扫描 2 、远程桌面连接查看主机是否能在外网登录 内网可能无法访问到外网部分主机,建议找TE用跳板机或者让伙伴验证 3 、查看winrm是否正确配置 如何开启WinRM服务? 4 、查看主机的端口是否开启
选择报告评审人,点击提交。报告评审人将会收到报告评审的待办。 图3 报告生成&提交审核 报告审核 报告审核责任人在报告管理页面选择报告后的【审核】按钮进入审核页面,也可以在解决方案工作台首页的待办中进入。 图4 报告审核入口 审核该报告的测试情况,也可以将报告下载下来审核。 填写审核意见,完成审核。
等) Web扫描如何判断是否扫描成功? 下载“Web扫描报告”,下拉到底部或者Ctrl+F搜索“扫描URL列表”,查看列表中是否存在登录后才能访问的url,若不存在,则说明扫描失败。 Web扫描有哪些鉴权方式,如何选择? 需要根据您的系统的设计来选择适合您的web扫描的鉴权方式,一般分为以下几种情况:
自动化用例预期的成功率在哪里设置? 可以在对应的自动化类型下点击【指标参数】,设置指标参数,如性能自动化的成功率、安全自动化的扫描漏洞数等。 图1 指标参数设置 父主题: 验证中心
安全验证 主机扫描 自动发现并检测主机操作系统、中间件等版本漏洞信息和基线配置,实时同步官网更新的漏洞库匹配漏洞特征,帮助用户及时发现主机安全隐患。 Web扫描 采用网页爬虫的方式全面深入的爬取网站url,基于多种不同能力的漏洞扫描插件,模拟用户真实浏览场景,逐个深度分析网站细节,帮助用户发现网站潜在的安全隐患。
(内网可能无法访问到外网部分主机,建议找TE用跳板机或者让伙伴验证)。 主机安全组入方向是否允许扫描工具ip通过 漏洞管理服务的主机扫描IP有哪些?_漏洞管理服务_常见问题_主机扫描类_华为云 (huaweicloud.com) 来自CodeArts Inspector的ip的访问是否被主机安全(HSS)拦截
对于没有可用升级版本的,参考“服务依赖组件漏洞分析表”中的“漏洞处理分析”进行漏洞处理分析。需根据漏洞原理分析漏洞触发场景、出现漏洞的影响,对产品受影响的场景需采取有效规避措施,测试完成前不能整改的需给出整改计划。分析结果通过华为安全工程师评审后归档保存。 “服务依赖组件漏洞分析”表提供了填写说明和填写模板供您填写前参考。
安全自动化测试用例包含“Web扫描(网站扫描)”、“主机扫描”、“二进制扫描”三类,。 Web扫描的操作指导点击参考:Web扫描。 主机扫描的操作指导点击参考:主机扫描。 二进制扫描的操作指导点击参考:二进制扫描。 安全自动化常见问题可参考安全扫描类FAQ。 不同类型的手工测试用例执行结果要求如下:
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
