检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
设置私钥用户对应的密码,为了您的账号安全,您的密码会加密保存。 普通用户名 当开启“Root权限是否加固”时,才显示该参数。 普通用户密码 当“选择登录方式”为“密码登录”且开启“Root权限是否加固”,时,才显示该参数。 设置普通用户名对应的密码,为了您的账号安全,您的密码会加密保存。
成分分析的安全配置类问题如何分析? 成分分析会检测用户包中一些安全配置项是否合规,主要如下: 用户上传的软件包/固件中存在的敏感文件,如(密钥文件,证书文件,源码文件, 调试工具等)。 用户上传的软件包/固件中操作系统中的用户与组配置、硬编码凭证、认证和访问控制等配置类问题。若不存在操作系统,则不涉及。
当扫描任务成功完成后,单击右上角的“生成报告”,生成网站扫描报告。 图1 查看报告详情 扫描任务详情界面默认显示最近一次的扫描情况,如果您需要查看其他时间的扫描情况,在“扫描记录”下拉框中,选择扫描时间点。 扫描报告只会保留最近10次的记录,之前的历史数据会保留一年,如果需要获取请联系华为云技术支持工程师处理。
配额包中的二级域名配额全部升级为一级域名配额,可以直接将专业版升级为高级版。 该任务指导专业版用户将漏洞管理服务升级为高级版。 前提条件 已获取管理控制台的登录账号(拥有VSS Administrator与BSS Administrator权限)和密码。 已购买专业版的漏洞管理服务。
终端节点(Endpoint)即调用API的请求地址,不同服务不同区域的终端节点不同,您可以从地区和终端节点中查询服务的终端节点。 基本概念 账号 用户注册时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。由于账号是付费主体,为了确保账号安全,建议您
提供软件包/固件全面分析功能,基于各类检测规则,获得相关被测对象的开源软件、信息泄露、安全配置、安全编译选项等存在的潜在风险。 用户只需上传产品软件包或固件文件提交扫描任务,服务即可输出详尽专业的测试报告。 前提条件 已获取管理控制台的登录账号与密码。 本地已准备好待扫描的二进制软件包。 操作步骤 登录管理控制台。
期性检测。 前提条件 已获取管理控制台的登录账号与密码。 已添加网站。 如果您的网站设置了防火墙或其他安全策略,将导致漏洞管理服务的扫描IP被当成恶意攻击者而误拦截。因此,在使用漏洞管理服务前,请您将以下漏洞管理服务的扫描IP添加至网站访问的白名单中: 119.3.232.114,119
显示已扫描和未扫描的资产数量和资产总数。 当资产的个数为0时,单击“添加资产”,进入到资产列表界面添加网站或主机。 资产 显示TOP风险前五位的网站或主机的资产。 单击“资产信息”区域右上角的“网站”或“主机”,可查看对应资产的信息。 单击资产可以进入到相应的资产报告详情页。 资产别称
择是否继续扫描。 在弹出的对话框中,单击“确认”。 当主机列表中有“扫描状态”为“排队中”或“进行中”的任务时,可以单击主机列表上方的“批量操作 > 批量取消”,在弹出的窗口中勾选需要取消扫描操作的主机进行批量取消。 开启主机扫描(基础版) 漏洞管理服务的基础版不支持主机扫描功能
管理任务 操作场景 该任务指导用户通过漏洞管理服务查找、删除或停止正在扫描的成分分析任务。 前提条件 已获取管理控制台的登录账号与密码。 查看任务 登录管理控制台。 在左侧导航树中,单击,选择“服务列表 > 开发与运维 > 漏洞管理服务”,进入漏洞管理服务页面。 在左侧导航栏,单击“二进制成分分析”。
在“移动应用安全”页面,单击“添加任务”,在弹出的对话框中,单击“添加文件”区域选择本地的软件包,导入扫描对象,如图1所示。 图1 添加扫描任务 单击“确定”,开始扫描,请等待1小时左右,当任务状态显示“完成”,即可完成扫描。 单击“停止”,可停止正在执行的任务。 单击“查看进度”,可查看正在执行的任务进度。 删除任务
需要登录才能访问的页面,最终检测结果也不会包含需要登录才能访问的页面检测结果。) 隐私合规检测完成后,会自动断开手机投屏界面。 “完成”:任务已完成扫描。 “失败”:任务扫描失败。 “超时”:任务扫描超时。 安全漏洞 扫描结果的漏洞分布情况。 隐私合规 隐私合规的扫描结果。 开始时间
隐私合规 隐私合规的扫描结果。 开始时间 任务开始时间。 分析时长 分析上传文件的时间。 创建人 任务的创建人。 查看扫描详情 登录管理控制台。 在左侧导航树中,单击,选择“服务列表 > 开发与运维 > 漏洞管理服务”,进入漏洞管理服务页面。 在左侧导航栏,单击“移动应用安全”。 在
Token的有效期为24小时,需要使用一个Token鉴权时,可以先缓存起来,避免频繁调用。 Token在计算机系统中代表令牌(临时)的意思,拥有Token就代表拥有某种权限。Token认证就是在调用API的时候将Token加到请求消息头,从而通过身份认证,获得操作API的权限。 T
监测任务开始执行的周期。 每天 每三天 每周 每月 监测资产 创建监测任务时填写的目标网址。 扫描模式 扫描模式分为“极速策略”、“标准策略”和“深度策略”,建议选择“深度策略”模式。 上一次扫描时间 最近一次扫描的时间。 最近一次扫描情况 最近一次扫描任务的信息,包括得分和各等级的漏洞数
目前对Windows系统的认证扫描支持基于HTTPS的WinRM(5986端口)和基于HTTP的WinRM(5985端口),建议用户配置使用更安全的基于HTTPS的WinRM。 如果仅为了做漏洞扫描而修改WinRM配置的,建议在扫描完成后,恢复系统原先的配置。 开启基于HTTPS的WinRM服务
前提条件 已获取管理控制台的登录账号(拥有VSS Administrator与BSS Administrator权限)和密码。 已购买专业版、高级版或者企业版的漏洞管理服务。 扩容专业版配额 登录管理控制台。 在左侧导航树中,单击,选择“服务列表 > 开发与运维 > 漏洞管理服务”,进入漏洞管理服务页面。
P地址的跳板机(跳转服务器),其中一个IP地址是公网IP,能够与扫描引擎通信;另一个IP地址位于内网中,用于与被扫描的目标主机互通。通过这种方式,我们能够建立从扫描引擎到被扫描目标主机的网络连接,进而完成内网主机的漏洞扫描。 创建主机扫描任务。在IP地址栏填写被扫描目标机的内网IP。
约束与限制 网站扫描域名/IP 漏洞管理服务是通过公网访问域名/IP地址进行扫描的,请确保该目标域名/IP地址能通过公网正常访问。 扫描IP加入网站访问白名单 如果您的网站设置了防火墙或其他安全策略,将导致漏洞管理服务的扫描IP被当成恶意攻击者而误拦截。因此,在使用漏洞管理服务前
如果您需要增加域名配额,即增加扫描的网站个数,“扫描配额包”的选择大于当前资产列表已添加的网站个数,且“扫描配额包”的选择值为您期望的域名配额值。 购买专业版成功后,当前资产列表所有基础版域名默认升级为专业版,享受专业版规格。 选择“高级版”时,需要配置购买的域名扫描配额包数量。 Web
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
