二进制成分分析推荐
为什么选择华为漏洞扫描工具?
华为云漏洞扫描工具有以下几点优势
扫描全面,多元漏洞检测
-涵盖多种类型资产扫描,支持云内外网站、主机扫描、移动应用安全,智能关联各资产,自动发现资产指纹信息,避免扫描盲区
-对企业与个人的多种资产进行专业的漏洞扫描,包括但不限于:Web应用、操作系统、中间件、弱密码
高效精准,智能监测扫描
-采用web2.0智能爬虫技术,内部验证机制不断自测和优化,提高检测准确率;时刻关注业界紧急CVE爆发漏洞情况,自动扫描,最快速了解资产安全风险
-安全专家7*24小时监控网络最新漏洞,第一时间更新漏洞扫描规则,对重点资产进行周期性监测扫描
.png)
简单易用,自定义扫描
-配置简单,一键全网扫描。分类管理资产安全,让运维工作更简单,风险状况更清晰了然
-自定义扫描规则,例如扫描强度、网站登录设置,以满足各种业务要求
.png)
怎么购买二进制成分分析?开源软件漏洞扫描购买流程指导
由浅入深,带您轻松使用二进制成分分析漏洞扫描。了解更多
-
收起
了解详情配置选型 收起
快速购买方式提供了以下几种配置类型的移动应用安全服务版本,您可以根据您的实际应用场景选择适合您的移动应用安全配置类型。
- 基础版
免费使用,基础版主要为用户提供体验机会,仅支持安全漏洞扫描。基础版同样提供在线报告查看功能,查看内容仅限安全漏洞项,不包括隐私合规项。每个用户默认拥有5次基础版额度,扫描失败不扣费。
- 专业版
专业版为付费版本,提供全量功能,包含安全漏洞、隐私合规检测。隐私合规紧跟工信部164号发文,针对违规收集个人信息、超范围收集个人信息、频繁索权、过度索权等通报问题进行检测。用户可在线查看扫描报告,并导出PDF格式离线报告。
-
收起
了解详情Step1 购买移动应用安全漏洞管理服务 收起
- 步骤
① 登录华为云控制台。在控制台页面中选择“安全> 漏洞管理服务”。
② 单击“升级规格”,进入购买页面,选择计费模式、服务版本、购买时长和扫描包数量。
- 说明
漏洞管理服务提供基础版、专业版、高级版和企业版扫描服务,基础版可免费使用,但是功能和规格受限,专业版、高级版和企业版需付费,具体功能和规格对比参见版本功能规格说明了解详情。
- 收起 了解详情
-
收起
了解详情Step3 扫描任务 收起
- 步骤
① 在“二进制成分分析”页面,单击“添加任务”,在弹出的对话框中,单击“添加文件”选择本地的软件包,导入扫描对象
② 单击“确定”,开始扫描。
- 说明
支持上传.7z、.arj、.cpio、.phar、.rar、.tar、.xar、.zip、.jar、.apk、.war等格式文件,及Android OTA Images、Android sparse、Intel HEX、RockChip、U-Boot等固件。
当前仅提供正式版按需套餐扫描计费模式。
-
收起
了解详情Step4 查看扫描结果 收起
- 步骤
① 登录管理控制台。
② 选择“服务列表 >安全与合规 > 漏洞管理服务”,进入漏洞管理服务管理控制台。在左侧导航栏,单击二进制成分分析。
③ 在“二进制成分分析”页面,可看到全部添加过的任务。单击对应任务操作列的“报告”,进行下载查看
二进制漏洞扫描工具常见问题
-
二进制成分分析的扫描对象是什么?
▶二进制成分分析的漏洞扫描对象为产品编译后的二进制软件包或固件:Linux安装包、Windows安装包、Web部署包、安卓应用、鸿蒙应用、IOS应用、嵌入式固件等;不支持扫描源码类文件。
-
二进制成分分析的主要漏洞扫描规格有哪些?
▶二进制漏洞扫描支持的编程语言类型:C/C++/Java/Go/JavaScript/Python。
二进制漏洞扫描支持的文件:.7z、.arj、.cpio、.phar、.rar、.tar、.xar、.zip、.jar、.apk、.war等格式文件,及Android OTA Images、Android sparse、Intel HEX、RockChip、U-Boot等固件。
二进制漏洞扫描支持上传的文件大小:不超过5GB。
二进制漏洞扫描平均扫描时间预估:根据不同的压缩格式或者文件类型扫描时长会有一定的差异,平均100MB/6min。
二进制漏洞扫描服务采用基于软件版本的方式检测漏洞,不支持补丁修复漏洞场景的检测。
-
二进制成分分析的漏洞扫描原理是什么,主要识别哪些风险?
对用户提供的软件包/固件进行全面分析,通过解压获取包中所有待分析文件,基于组件特征识别技术以及各种风险检测规则,获得相关被测对象的组件BOM清单和潜在风险清单。主要包括以下几类:
-开源软件风险:检测包中的开源软件风险,如已知漏洞、License合规等。
-安全配置风险:检测包中配置类风险,如硬编码凭证、敏感文件(如密钥、证书、调试工具等)问题、OS认证和访问控制类问题等。
-信息泄露风险:检测包中信息泄露风险,如IP泄露、硬编码密钥、弱口令、 GIT/SVN仓泄露等风险。图1 风险项
-
二进制成分分析的开源软件风险如何分析?
二进制成分分析漏洞扫描基于静态风险检测,会对用户上传的软件包/固件进行解压并分析其中的文件,识别包中文件包含的开源软件清单,并分析是否存在已知漏洞、License合规等风险。用户扫描完成后,建议按照以下步骤进行分析排查:
- 开源软件分析,分析开源软件是否存在以及软件版本是否准确。
- 基于报告详情页面或导出的报告中开源软件所在文件全路径找到对应文件,然后分析该文件中开源软件是否存在或准确(可由相关文件的开发或提供人员协助分析),如果否,则无需后续分析。
- 已知漏洞扫描分析,分析已知漏洞是否准确。
- 通过NVD、CVE、CNVD等社区搜索相关CVE已知漏洞编号,获取漏洞扫描详情
- 概要分析:查看影响的软件范围,如CVE-2021-3711在NVD社区中的Known Affected Software Configurations,如下图,确认漏洞是否影响当前使用的软件版本,如果当前使用的软件版本不在影响范围内,则初步说明漏洞可能不涉及/影响。
- 精细化分析:漏洞通常存在于某些函数中,可以通过社区中的漏洞修复补丁确认漏洞详情、涉及函数以及修复方式,如下图,用户可以结合自身软件对于相关开源软件功能的使用是否涉及相关漏洞
- License合规分析。基于报告中开源软件及对应的License分析软件是否合规,满足公司或准入要求。
- 风险解决方式:
- 已知漏洞:如果当前使用的软件版本存在漏洞,可通过升级软件版本至社区推荐版本解决。紧急情况下也可以通过社区推荐的patch修复方式临时解决。
- License合规:如果使用的软件存在合规风险,则需要寻找相似功能且合规的开源软件进行替代。
-
二进制成分分析漏洞扫描的安全配置类问题如何分析?
1.二进制成分分析漏洞扫描会检测用户包中一些安全配置项是否合规,主要如下:
-用户上传的软件包/固件中存在的敏感文件,如(密钥文件,证书文件,源码文件, 调试工具等)。
-用户上传的软件包/固件中操作系统中的用户与组配置、硬编码凭证、认证和访问控制等配置类问题。若不存在操作系统,则不涉及。
2.二进制安全配置类检查问题分析指导:
导出PDF报告,搜索【安全配置检查概览】关键字,可以看到各检查项的结果,pass表示通过,failed表示未通过,NA表示不涉及(若无操作系统,则针对操作系统配置检查项为不涉及)。搜索【安全配置检查】关键字,可以查看具体每项的检查结果。
检查结果说明:
-审视项:检查的方式/方法。
-问题:存在问题的文件列表,若无问题则显示暂无问题。
-建议值:针对检查出的问题给出的修改建议。
-描述:审视项描述。
-
二进制成分分析漏洞扫描的信息泄露问题如何分析?
二进制成分分析漏洞扫描基于静态风险检测,会对用户上传的软件包/固件进行解压并分析其中的文件,识别包中是否存在信息泄露类风险,如敏感IP、GIT/SVN仓、弱口令、硬编码密钥等风险。
针对已识别的信息泄露类风险,可以通过查看导出报告中的告警详情,如PDF漏洞扫描报告,可以在结果概览中确认是否有信息泄露风险。如果有,则可以查看相应信息泄露明细,每个告警都会包含以下几个说明,针对工具扫描出的风险清单,用户可以基于自身实际使用情况判断是否有信息泄露风险,如存在,则采取不同措施屏蔽或修改即可。
-问题类型:IP泄露/硬编码密码/Git地址泄露等。
-文件路径:发现信息泄露的文件在包中的全路径。
-上下文内容:发现风险的文本行内容,包含风险内容和上下文内容。
-匹配内容:实际发现的风险内容。
-匹配位置:在文件中x行,x位置发现的信息泄露风险。
