检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
为什么执行下载认证文件操作后没有看到下载的认证文件? 文件认证功能已下线,请参考添加网站使用免认证或一键认证方式。 父主题: 网站扫描类
成分分析的开源软件风险如何分析? 成分分析基于静态风险检测,会对用户上传的软件包/固件进行解压并分析其中的文件,识别包中文件包含的开源软件清单,并分析是否存在已知漏洞、License合规等风险。用户扫描完成后,建议按照以下步骤进行分析排查: 开源软件分析,分析开源软件是否存在以及软件版本是否准确。
成分分析的安全配置类问题如何分析? 成分分析会检测用户包中一些安全配置项是否合规,主要如下: 用户上传的软件包/固件中存在的敏感文件,如(密钥文件,证书文件,源码文件, 调试工具等)。 用户上传的软件包/固件中操作系统中的用户与组配置、硬编码凭证、认证和访问控制等配置类问题。若不存在操作系统,则不涉及。
cookie值可能不含有用户的个人信息。 存储方式 除域名/IP地址明文保存外,其他字段加密存储。 访问权限控制 用户只能查看自己业务的相关信息。 日志记录 用户个人数据的所有非查询类操作,包括创建、删除域名等,漏洞管理服务都会记录审计日志并上传至云审计服务(CTS),用户仅可以查看自己的审计日志。
成分分析的资源包为什么购买失败了? 可能是因为权限不足导致购买失败,请检查用户权限。 用户需要拥有te_admin、bss_adm、bss_pay或bss_ops权限才能购买漏洞管理服务。如需开通该权限,请联系拥有Tenant Administrator权限的用户,开通权限,详细
成分分析的扫描原理是什么,主要识别哪些风险? 对用户提供的软件包/固件进行全面分析,通过解压获取包中所有待分析文件,基于组件特征识别技术以及各种风险检测规则,获得相关被测对象的组件BOM清单和潜在风险清单。主要包括以下几类: 开源软件风险:检测包中的开源软件风险,如已知漏洞、License合规等。
成分分析的任务扫描失败怎么办? 任务扫描失败可能由多种原因造成,需要针对具体情况进行分析,常见的失败原因如下: 表1 常见失败原因分析 失败原因 解决方案 文件解析异常 文件本身存在不完整、结构异常等问题,导致服务无法正常解析。提供通用的压缩、固件、包格式文件重新创建扫描任务即可。
ssh版本较低,生成的密钥以“BEGIN RSA PRIVATE KEY”开头,无法登录怎么办? 若该版本ssh无法登录,则需要将ssh升级到高版本,高版本生成的私钥是以“BEGIN OPENSSH PRIVATE KEY”开头的,OpenSSH从7.8版本开始改用了OpenSSH密钥格式。
么类型的操作。 GET:请求服务器返回指定资源。 PUT:请求服务器更新指定资源。 POST:请求服务器新增资源或执行特殊操作。 DELETE:请求服务器删除指定资源,如删除对象等。 HEAD:请求服务器资源头部。 PATCH:请求服务器更新资源的部分内容。当资源不存在的时候,PATCH可能会去创建一个新的资源。
为什么执行下载认证文件操作后没有看到下载的认证文件? 创建任务时为什么总是提示域名格式错误? 认证文件有什么用途? 为什么域名一键认证失败? 如何将认证文件上传到网站根目录? 如何对网站进行认证? 如何解决漏洞管理服务中已添加网站的“网站地址”错误的问题? 如何解决网站扫描失败,报连接超时的问题? 漏洞管理服务支持web_CMS漏洞吗?
当主机扫描通过密钥的方式来登录目的主机时,会涉及到私钥和私钥密码的填写。 私钥和私钥密码的生成方式如下: 在目的主机上执行ssh-keygen命令生成公钥和私钥,按照提示信息输入生成密钥的文件路径,并输入2次私钥密码。 执行ls命令可查看在设置的文件路径下生成的公钥和私钥文件。
扫描任务有哪些状态? 扫描任务的状态如表1所示。 表1 扫描任务状态 状态 含义 已完成 任务扫描完成。 进行中 任务正在进行扫描。 排队中 任务正在等待执行。 说明: 如果没有设置开始扫描时间,且此时服务器没有被占用,则创建的任务可立即开始扫描,任务状态为“进行中”;否则进入等待队列中等待,任务状态为“排队中”。
单击“加载已解压的扩展程序”,选择解压后的文件根目录,加载浏览器插件。 打开并登录网站。 单击扩展程序-浏览器插件Cookie Getter图标,获取浏览器插件展示的JSON格式cookie和storage值全文。 漏洞管理服务的Cookie登录支持设置“以分号分隔的键值对”和“JSON”两种格式cookie值。
您可以选中需要扫描的主机,在主机列表上方单击“批量操作 > 批量扫描”,对选中的多台主机批量进行扫描。 当“主机连接状态”为“未知”时,需先单击目标主机所在行的“更多 > 互通性”进行测试。 当“主机连接状态”为“IP不可达”或“连接失败”时,单击“扫描”后,会弹出主机连接状态确定提示框,请根据提示选择是否继续扫描。
移动应用安全类 漏洞管理服务支持哪些安全漏洞检测? 隐私合规检测支持哪些场景? 任务状态显示失败如何处理? 扫描的安全漏洞告警如何分析定位? 扫描的隐私合规问题如何分析定位? 任务部分检测项有数值,但任务状态显示失败? 安全漏洞报告中问题文件或者漏洞特征信息为空? 任务扫描超1小时仍然未结束?
该任务指导用户通过漏洞管理服务创建扫描任务。 前提条件 已获取管理控制台的登录账号与密码。 已添加网站。 如果您的网站设置了防火墙或其他安全策略,将导致漏洞管理服务的扫描IP被当成恶意攻击者而误拦截。因此,在使用漏洞管理服务前,请您将以下漏洞管理服务的扫描IP添加至网站访问的白名单中: 119.3.232.114,119
用户名 登录网站的用户名。 test01 密码 对应用户名的密码。 -- 确认密码 再次输入用户名的密码。 -- Cookie登录 当配置的“Web页面登录”无法成功登录进业务系统时,可以尝试通过配置原始Cookie的方式进行扫描。 cookie值 输入登录网站的cookie值。
漏洞管理服务提供了基础版、专业版、高级版和企业版四种服务版本。其中,基础版配额内的服务免费,部分功能按需计费;专业版、高级版和企业版需要收费。 各服务版本支持的计费方式、功能和规格说明如下所示,您可以根据业务需求选择相应的服务版本。 表1 各服务版本计费方式 服务版本 支持的计费方式 说明 价格详情 基础版 免费 基础版配额内仅支持Web网站漏洞扫描。
在左侧导航栏,选择“资产列表”,单击右上角的“升级规格”,进入升级专业版规格入口。 在升级规格界面设置配额,如图1所示。 图1 专业版配额扩容 在“扫描配额包”栏,单击增加域名扫描配额包数量。 “扫描配额包”即配置的域名/IP地址个数,目前支持的范围为1-100。 选择的“扫描配额包”必须大于当前拥有的域名配额。
“已完成” 任务已完成扫描。 “已停止” 任务扫描中单击了操作栏的“停止”。 “已失败” 任务扫描失败。 安全漏洞 成分分析扫描出的漏洞分布情况。 开始时间 成分分析开始的时间。 任务时长 成分分析扫描完成、失败或停止的所用时长。 操作 查看报告、停止、删除按钮。 在下拉框下拉选择任务状态,可根据任务状态筛选查看任务。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
