漏洞管理服务

扫描全面 高效精准 简单易用 报告全面

漏洞管理服务(CodeArts Inspector)集Web漏洞扫描、操作系统漏洞扫描、资产及内容合规检测、安全配置基线检查、弱密码检测、开源合规及漏洞检查、移动应用安全检查七大核心功能为一体,自动发现网站或服务器在网络中的安全风险,为云上业务提供多维度的安全检测服务,满足合规要求,让安全弱点无所遁形。

• 支持云内外网站、主机扫描、移动应用安全、二进制成分分析

• 采用web2.0智能爬虫技术,内部验证机制不断自测和优化,提高检测准确率

• 配置简单,一键全网扫描,可自定义扫描事件

• 清晰简洁的扫描报告,多角度分析资产安全风险

漏洞管理服务 产品优势

  • 漏洞管理服务 扫描全面

    涵盖多种类型资产扫描,支持云内外网站、主机扫描、移动应用安全,智能关联各资产,自动发现资产指纹信息,避免扫描盲区

    涵盖多种类型资产扫描,支持云内外网站、主机扫描、移动应用安全,智能关联各资产,自动发现资产指纹信息,避免扫描盲区

  • 漏洞管理服务 高效精准

    采用web2.0智能爬虫技术,内部验证机制不断自测和优化,提高检测准确率;时刻关注业界紧急CVE爆发漏洞情况,自动扫描,最快速了解资产安全风险

    采用web2.0智能爬虫技术,内部验证机制不断自测和优化,提高检测准确率;时刻关注业界紧急CVE爆发漏洞情况,自动扫描,最快速了解资产安全风险

  • 漏洞管理服务 简单易用

    配置简单,一键全网扫描。可自定义扫描事件,分类管理资产安全,让运维工作更简单,风险状况更清晰了然

    配置简单,一键全网扫描。可自定义扫描事件,分类管理资产安全,让运维工作更简单,风险状况更清晰了然

  • 漏洞管理服务 报告全面

    清晰简洁的扫描报告,多角度分析资产安全风险;多元化数据呈现,将安全数据智能分析和整合,使安全现状清晰明了

    清晰简洁的扫描报告,多角度分析资产安全风险;多元化数据呈现,将安全数据智能分析和整合,使安全现状清晰明了

漏洞管理服务 应用场景

根据业务发展需要,您可以随时添加域名、创建扫描任务

Web漏洞扫描

Web漏洞扫描

网站的漏洞与弱点易于被黑客利用,形成攻击,带来不良影响,造成经济损失

能够做到

— 常规漏洞扫描

丰富的漏洞规则库,可针对各种类型的网站进行全面深入的漏洞扫描,提供专业全面的扫描报告

— 最新紧急漏洞扫描

针对最新紧急爆发的CVE漏洞,安全专家第一时间分析漏洞、更新规则,提供最快速专业的CVE漏洞扫描

弱密码扫描

弱密码扫描

主机或中间件等资产一般使用密码进行远程登录,攻击者往往使用扫描技术来探测其用户名和弱口令

能够做到

— 多场景可用

全方位的OS连接,涵盖90%的中间件,支持标准Web业务弱密码检测、操作系统、数据库等弱口令检测

— 丰富的弱密码库

丰富的弱密码匹配库,模拟黑客对各场景进行弱口令探测,同时支持自定义字典进行密码检测

主机漏洞扫描

主机漏洞扫描

操作系统是业务应用安全运行的基础,及时修复操作系统的已知漏洞可以很大程度上避免主机被攻击者入侵和利

能够做到

— 全方位的深度扫描

通过配置验证信息,可连接到服务器进行操作系统检测,进行多维度的漏洞、配置检测

— 多种网络场景的支持

可以通过密码方式访问业务所在的服务器,适配不同企业网络管理场景

中间件扫描

中间件扫描

中间件可帮助用户灵活、高效地开发和集成复杂的应用软件,一旦被黑客发现漏洞并利用,将影响上下层安全

能够做到

— 丰富的扫描场景

支持主流Web容器、前台开发框架、后台微服务技术栈的版本漏洞和配置合规扫描

— 多扫描方式可选

支持通过标准包或者自定义安装等多种方式识别服务器中的中间件及其版本,全方位发现服务器中的漏洞风险

内容合规检测

内容合规检测

当网站被发现有不合规言论时,会给企业造成品牌和经济上的多重损失

能够做到

— 精准识别

同步更新时政热点和舆情事件的样本数据,准确定位各种涉黄、涉暴涉恐、涉政等敏感内容

— 智能高效

对文本、图片内容进行上下文语义分析,智能识别复杂变种文本

移动应用安全

移动应用安全

当前企业移动应用被通报甚至下架时,会给企业带来重大经济损失,同时品牌形象受损、用户量下滑。

能够做到

— 精确检测

服务紧贴工信部、公安部、网信办发文,结合行业解读,检测移动应用安全、合规问题

— 快速扫描

分钟级扫描,对应用本身及第三方SDK进行分析,并给出详细专业报告

二进制成分分析

二进制成分分析

产品包或固件中因不当使用开源软件、配置不合规等会产生漏洞或合规性风险,及时的发现和修复相关问题可以减少被攻击者利用的风险。

能够做到

— 全方位风险检测

对产品包/固件进行全面分析,基于各类检测规则,获得相关被测对象的开源软件、信息泄露、安全配置等存在的潜在风险。

— 支持各类应用

支持对桌面应用(Windows和Linux)、移动应用程序(APK、IPA、Hap等)、嵌入式系统固件等的检测。

— 专业分析指导

提供全面、直观的风险汇总信息,并针对不同的扫描告警提供专业的解决方案和修复建议。

漏洞扫描服务 常见问题

华为云漏洞扫描服务 常见问题

  • 漏洞扫描服务如何判定SQL注入风险?

    对于存在运算或判断等表达式的请求,当扫描结果与原请求相似度大于90%时,VSS就会判定存在SQL注入风险。

  • 漏洞扫描服务可以免费使用吗?

    漏洞扫描服务提供了基础版、专业版、高级版和企业版四种服务版本。其中,基础版配额内的服务免费,部分功能按需计费;专业版、高级版和企业版需要收费。

    基础版配额内提供的网站漏洞扫描服务(域名个数:5个,扫描次数:每日5次)是免费的。

    有关VSS收费的详细介绍,请参见漏洞扫描服务如何收费

  • 漏洞扫描服务支持扫描SQL注入吗?

    漏洞扫描服务支持扫描前端漏洞(SQL注入、XSS、CSRF、URL跳转等)。

  • 漏洞扫描服务能修复扫描出来的漏洞吗?

    不能。漏洞扫描服务是一款漏洞扫描工具,能为您发现您的资产存在的漏洞,不能进行资产漏洞修复,但漏洞扫描服务会为您提供详细的扫描结果以及修复建议,请您自行选择修复方法进行修复。

  • 漏洞扫描服务支持扫描哪些漏洞?

    漏洞扫描服务支持扫描的漏洞有:

    — 弱口令检测

    SSH、FTP、RDP、SMB、MYSQL、MSSQL、MongoDB、Redis、Oracle、DB2、GaussDB、Postgres、Telnet。

    — 前端漏洞

    SQL注入、XSS、CSRF、URL跳转等。

    — 信息泄露

    端口暴露,目录遍历,备份文件,不安全文件,不安全HTTP方法,不安全端口。

    — Web注入漏洞

    命令注入,代码注入,XPATH注入,SSRF注入,反序列化等注入漏洞。

    — 文件包含漏洞

    任意文件读取、任意文件包含、任意文件上传、XXE。

  • 漏洞扫描服务支持多个帐号共享使用吗?

    VSS支持多个帐号或多个IAM用户共享使用,说明如下:

    — 多个帐号共享使用

    例如,您通过注册华为云创建了2个帐号(“domain1”和“domain2”),如果您将“domain1”的权限委托给“domain2”,则“domain2”可以使用“domain1”的VSS。

    有关委托管理的详细操作,请参见创建委托

    — 多个IAM用户共享使用

    例如,您通过注册华为云创建了1个帐号(“domain1”),且由“domain1”帐号在IAM中创建了2个IAM用户(“sub-user1a”和“sub-user1b”),如果您授权了“sub-user1b”用户VSS的权限策略,则“sub-user1b”用户可以使用“sub-user1a”用户的VSS。

    有关VSS权限管理的详细操作,请参见创建用户并授权使用VSS