检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
专业版是否支持一级域名的扫描? 专业版限制一个二级域名扫描,兼容用户把一级域名当做二级域名来使用的场景,这时添加一级域名,配额仍然算作二级域名的,即不能再新加二级域名了。例如用户买了专业版一个配额,可以添加example.com一级域名进行扫描,也算作二级域名的配额,如果想添加www
ome等浏览器访问网站,确认是否正常访问。 您的网站设置了防火墙或其他安全策略,导致漏洞扫描的引擎IP被当成恶意攻击而拦截。请参见漏洞管理服务的扫描IP有哪些?为漏洞扫描引擎设置访问白名单。 父主题: 网站扫描类
火水电,AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连,以满足用户跨AZ构建高可用性系统的需求。 图1阐明了区域和可用区之间的关系。 图1 区域和可用区 目前,华为云已在全球多个地域开放云服务,您可以根据需求选择适合自己的区域和可用区。
授权信息 主机授权的具体操作请参见配置漏洞管理服务Linux主机授权和配置漏洞管理服务Windows主机授权。 操作系统 主机的操作系统,包含Linux和Windows操作系统。 该参数默认不显示,单击主机列表右上方的,可选择显示该参数。 跳板机 添加跳板机的具体操作请参见添加跳板机。
成分分析的扫描对象是什么? 成分分析的扫描对象为产品编译后的二进制软件包或固件:Linux安装包、Windows安装包、Web部署包、安卓应用、鸿蒙应用、IOS应用、嵌入式固件等;不支持扫描源码类文件;详细操作参见添加二进制成分分析任务。 父主题: 二进制成分分析类
率动态调整能力,可有效避免用户网站业务受到影响。 主机扫描 经过用户授权(支持账密授权)访问用户主机,漏洞管理服务能够自动发现并检测主机操作系统、中间件等版本漏洞信息和基线配置,实时同步官网更新的漏洞库匹配漏洞特征,帮助用户及时发现主机安全隐患。 移动应用安全 对用户提供的安卓、
通过配置验证信息,可连接到服务器进行OS检测,进行多维度的漏洞、配置检测。 支持内网扫描 可以通过跳板机方式访问业务所在的服务器,适配不同企业网络管理场景。 弱密码扫描应用场景 主机或中间件等资产一般使用密码进行远程登录,攻击者通常使用扫描技术来探测其用户名和弱口令。 多场景可用 支持操作系统(RDP协议
支持上传的文件大小:不超过5GB。 平均扫描时间预估:根据不同的压缩格式或者文件类型扫描时长会有一定的差异,平均100MB/6min。 服务采用基于软件版本的方式检测漏洞,不支持补丁修复漏洞场景的检测。 父主题: 二进制成分分析类
安全漏洞报告中问题文件或者漏洞特征信息为空? 安全漏洞扫描结果中,我们会展示相关的问题文件及特征信息,但是在实际报告会发现存在问题文件或者漏洞特征信息为空的情况,如下图所示: 这是因为部分检查项是针对全局性的,不针对某个文件,所以存在问题文件跟漏洞特征信息为空情况,属于正常现象。
网站cookie值发生变化时,如何进行网站漏洞扫描? 当某个网站挂载多个子网站,且需要对这些网站都进行漏洞扫描(使用cookie登录方式)时,如果您从网站主入口登录后,再进入其他子网站,网站的cookie值可能会发生改变。对于cookie值发生改变的子网站,您需要为这些子网站单独完成扫描任务的创建。
用户上传的软件包/固件中操作系统中的用户与组配置、硬编码凭证、认证和访问控制等配置类问题。若不存在操作系统,则不涉及。 安全配置类检查问题分析指导: 导出PDF报告,搜索【安全配置检查概览】关键字,可以看到各检查项的结果,pass表示通过,failed表示未通过,NA表示不涉及(若无操作系统,则针
域名认证完成后网站根目录下面的认证文件可以删除吗? 不可以。漏洞管理服务在后续扫描过程中会读取该文件,验证网站的所有权是否仍然有效。 如果认证文件被删除,当再次对该域名进行扫描时,会提示失败。 父主题: 网站扫描类
文件本身存在不完整、结构异常等问题,导致服务无法正常解析。提供通用的压缩、固件、包格式文件重新创建扫描任务即可。 文件上传中损坏 文件在传送过程中损坏,导致无法正确解析。重新创建扫描任务进行扫描即可。 其它原因导致任务失败 多次重复创建任务后扫描任务仍然失败,可联系服务运维团队。 若用户使用“按
组件版本为什么没有被识别出来或识别错误? 成分分析扫描无法识别组件版本常见原因有: 成分分析特征库不支持该开源软件版本。 用户引用的开源软件修改过源码,或使用时部分引用该软件功能,导致实际编译/发布文件中相关软件特征未达到工具识别阈值,造成开源软件无法识别或版本识别异常。 用户使
Administrator或VSS Administrator权限的账号登录华为云,在右上角单击“控制台”。 单击右上角的个人账号下的“统一身份认证”,进入“统一身份认证服务 > 用户”页面。 在用户列表中,单击需要授权用户所在行的“授权”,进入“授权”页面。 图1 用户授权 授权方式选“继承所选用户组的策略”,用户组勾选具有Tenant
使用了Web应用防火墙,对网站扫描时SSL/TLS存在bar mitzvah attack漏洞? 使用了Web应用防火墙(WAF)对网站扫描时SSL/TLS存在bar mitzvah attack漏洞,需要设置TLS配置。 登录Web应用防火墙控制台。 进入网站设置页面入口。 在
为什么主机添加成功后不能在主机列表中查找到? 由于漏洞管理服务系统处理任务需要一段时间,因此主机添加成功后您不能在主机列表中马上查找到该添加的主机。请您等待一段时间,刷新主机列表再查找添加的主机。 父主题: 主机扫描类
漏洞管理服务从哪些漏洞源获得已知漏洞信息? 漏洞管理服务的已知漏洞信息来源主要为各操作系统厂商的安全公告、NVD公开漏洞库等。漏洞信息来源及修复建议中可能会包含一些公网域名,主要提供用户漏洞的官方参考链接,便于用户参考,具体如下所示: en.wikipedia.org、wiki.debian
查询漏洞管理服务审计日志(可选) 通过云审计服务,用户可以记录与漏洞管理服务相关的操作事件,便于日后的查询、审计和回溯。 开启了云审计服务后,系统开始记录漏洞管理服务资源的操作。 云审计服务管理控制台保存最近7天的操作记录,查看云审计日志操作请参考查看审计事件。 云审计服务支持的漏洞管理服务操作列表如表1所示。
描的检测原理是基于漏洞POC验证,如果没有攻击入口或路径,或已经开启了Web应用防火墙等防护措施,则无法扫出来;主机扫描的检测原理是登录操作系统之后探测JAR包版本,匹配是否在受影响的版本范围之内,相对高效。 建议有条件的话,使用网站漏洞扫描和主机扫描远程扫描,若发现问题请尽快按处置办法进行操作。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
