正在生成
详细信息:
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
网站任务管理 创建网站扫描任务并启动 获取网站扫描任务详情 取消或重启网站扫描任务 获取网站的历史扫描任务 父主题: API
如果一个任务扫描到一半被系统自动取消了,可能有以下两个原因: 没有配置“网站登录设置”信息。 用户没有配置“网站登录设置”信息,漏洞管理服务无法进行深入的访问,任务就会自动取消。 建议设置“网站登录设置”信息后,重新扫描。 扫描过程中,出现了网络问题。 网络异常,漏洞管理服务将无法访问网站,任务
为什么要进行域名认证 华为云漏洞管理服务不同于一般的扫描工具,因为漏洞管理服务的扫描原理是基于自动化渗透测试(对被扫描的对象发送非恶意的“攻击报文”),因此需要确保用户扫描的网站的所有权是用户自己。 漏洞管理服务支持的认证方式 “免认证”方式。 华为云租户“一键认证” 。 华为云“一键认证”失败的原因
可以扫描产品上线前的局域网站点吗? 漏洞管理服务是通过公网扫描的,局域网内站点可以配置公网代理机,使其可通过公网访问。 父主题: 网站扫描类
创建网站扫描任务或重启任务不成功时如何处理? 请执行添加网站操作重新创建网站。 父主题: 网站扫描类
如果网站登录需要动态验证码可以使用漏洞管理服务的自动登录功能吗? 如果网站登录需要动态验证码可以使用漏洞管理服务的自动登录功能,只需要用户在网站登录设置页面配置网站的Cookie值。 如何配置网站的Cookie值请参见为什么扫描任务自动登录失败了?。 父主题: 网站扫描类
域名认证完成后网站根目录下面的认证文件可以删除吗? 不可以。漏洞管理服务在后续扫描过程中会读取该文件,验证网站的所有权是否仍然有效。 如果认证文件被删除,当再次对该域名进行扫描时,会提示失败。 父主题: 网站扫描类
在目标网站所在行的“防护网站”列中,单击目标网站,进入网站基本信息页面。 在“TLS配置”所在行,单击修改TLS配置。 选择“TLS v1.2”和“加密套件2”,加密算法为EECDH+AESGCM:EDH+AESGCM。 图1 TLS配置 单击“确定”。 重新对网站进行扫描即可正常。 父主题: 网站扫描类
如何下载网站扫描报告? 操作场景 当网站扫描任务成功完成后,您可以下载任务报告,报告目前只支持PDF格式。 前提条件 已成功完成网站扫描任务,即目标网站的“扫描状态”为“已完成”。 操作步骤 登录管理控制台。 在左侧导航树中,单击,选择“服务列表 > 开发与运维 > 漏洞管理服务”,进入漏洞管理服务页面。
如何扫描弱密码? 漏洞管理服务不支持对弱密码单独进行扫描。您可以通过查看网站扫描详情,了解弱密码的扫描情况。 有关查看网站扫描详情的操作,请参见查看网站扫描详情。 父主题: 网站扫描类
图2 获取cookie值 步骤2:设置网站“cookie登录”方式 请参照以下操作步骤设置“cookie登录”方式。 登录管理控制台。 进入网站登录设置入口,如图3所示。 图3 进入网站登录设置入口 在弹出的“编辑”对话框中,将图2中网站的cookie值完整复制到“cookie值”文本框中,如图4所示。
认证文件有什么用途? 文件认证功能已下线,请参考添加网站使用免认证或一键认证方式。 父主题: 网站扫描类
在创建任务时,设置“开始时间”,设置好启动时间后,系统会在用户设置的时间点启动该任务,如图1所示。 启动时间必须在一周之内。 图1 定时开始 父主题: 网站扫描类
漏洞管理服务”,进入漏洞管理服务页面。 在“资产列表 > 网站”页签,进入网站列表入口。 在目标网站的“操作”列,单击“编辑”,进入网站编辑页面,根据需要修改“网站登录设置”,如图1所示。 图1 编辑页面 单击“确认”。 父主题: 网站扫描类
Configuration Generator自动生成的TLS/SSL配置来修改。 修复验证 用户可以自行通过在线检测网站或开源工具验证(搜索引擎搜索SSL检测)。 父主题: 网站扫描类
注漏洞是否存在即可。 下面将解释扫描结果不一致的原因。 漏洞管理服务工作机制 漏洞管理服务从客户端的角度,模拟黑客向测试目标发起攻击,根据网站的响应(内容、时间等信息)来判断是否存在漏洞。 根据登录信息登录测试目标 主动爬虫爬取相关目标 发送攻击报文进行测试 根据响应内容判断漏洞存在
已添加的域名是否可以删除? 可以删除,但域名删除后,该资产的历史扫描数据将被删除,不可恢复。 父主题: 网站扫描类
华北-北京一 华北-北京四 华东-上海一 华东-上海二 华南-广州 华南-深圳 东北-大连 西南-贵阳一 图1 一键认证方式 父主题: 网站扫描类
创建任务时为什么总是提示域名格式错误? 创建任务时,为了让漏洞管理服务识别出网站使用的协议(http或https),需要在输入的时候填写此信息。 正确的域名格式为:“http(s)://域名或IP”。 例如:一个使用https协议,IP地址为10.10.10.1的网站,在创建任务时应输入的“目标网址”为“https://10
漏洞管理服务提供支持以下3种网站扫描模式: “极速策略”:扫描的网站URL数量有限且漏洞管理服务会开启耗时较短的扫描插件进行扫描。 “深度策略”:扫描的网站URL数量不限且漏洞管理服务会开启所有的扫描插件进行耗时较长的遍历扫描。 “标准策略”:扫描的网站URL数量和耗时都介于“极速策略”和“深度策略”两者之间。