网页漏洞扫描工具

网页漏洞扫描工具有哪些

网页漏洞扫描工具可以选择华为云漏洞扫描服务(Vulnerability Scan Service,简称VSS),该服务集Web漏洞扫描、操作系统漏洞扫描、资产及内容合规检测、安全配置基线检查、弱密码检测、开源合规及漏洞检查、移动应用安全检查七大核心功能为一体,自动发现网站或服务器在网络中的安全风险,为云上业务提供多维度的安全检测服务。


为什么选择华为云漏洞扫描服务

扫描全面:涵盖多种类型资产扫描,支持云内外网站、主机扫描、移动应用安全。

高效精准:采用web2.0智能爬虫技术,时刻关注业界紧急CVE爆发漏洞情况。

简单易用:一键全网扫描,可自定义扫描事件,分类管理资产安全,让运维工作更简单。

报告清晰:多角度分析资产安全风险,多元化数据呈现,将数据智能分析和整合,一目了然。

哪些应用场景需要做漏洞扫描

Web漏洞扫描

网站的漏洞与弱点易于被黑客利用,形成攻击,带来不良影响,造成经济损失


能够做到

  • 常规漏洞扫描

    丰富的漏洞规则库,可针对各种类型的网站进行全面深入的漏洞扫描,提供专业全面的扫描报告

  • 最新紧急漏洞扫描

    针对最新紧急爆发的CVE漏洞,安全专家第一时间分析漏洞、更新规则,提供最快速专业的CVE漏洞扫描

弱密码扫描

主机或中间件等资产一般使用密码进行远程登录,攻击者往往使用扫描技术来探测其用户名和弱口令


能够做到

  • 多场景可用

    全方位的OS连接,涵盖90%的中间件,支持标准Web业务弱密码检测、操作系统、数据库等弱口令检测

  • 丰富的弱密码库

    丰富的弱密码匹配库,模拟黑客对各场景进行弱口令探测,同时支持自定义字典进行密码检测

主机漏洞扫描

操作系统是业务应用安全运行的基础,及时修复操作系统的已知漏洞可以很大程度上避免主机被攻击者入侵和利用


能够做到

  • 全方位的深度扫描

    通过配置验证信息,可连接到服务器进行操作系统检测,进行多维度的漏洞、配置检测

  • 多种网络场景的支持

    可以通过密码方式访问业务所在的服务器,适配不同企业网络管理场景

中间件扫描

中间件可帮助用户灵活、高效地开发和集成复杂的应用软件,一旦被黑客发现漏洞并利用,将影响上下层安全


能够做到

  • 丰富的扫描场景

    支持主流Web容器、前台开发框架、后台微服务技术栈的版本漏洞和配置合规扫描

  • 多扫描方式可选

    支持通过标准包或者自定义安装等多种方式识别服务器中的中间件及其版本,全方位发现服务器中的漏洞风险

内容合规检测

当网站被发现有不合规言论时,会给企业造成品牌和经济上的多重损失


能够做到

  • 精准识别

    同步更新时政热点和舆情事件的样本数据,准确定位各种涉黄、涉暴涉恐、涉政等敏感内容

  • 智能高效

    对文本、图片内容进行上下文语义分析,智能识别复杂变种文本

移动应用安全

当前企业移动应用被通报甚至下架时,会给企业带来重大经济损失,同时品牌形象受损、用户量下滑。


能够做到

-精确检测

服务紧贴工信部、公安部、网信办发文,结合行业解读,检测移动应用安全、合规问题

-快速扫描

分钟级扫描,对应用本身及第三方SDK进行分析,并给出详细专业报告

二进制成分分析

产品包或固件中因不当使用开源软件、配置不合规等会产生漏洞或合规性风险,及时的发现和修复相关问题可以减少被攻击者利用的风险。


能够做到

-全方位风险检测

对产品包/固件进行全面分析,基于各类检测规则,获得相关被测对象的开源软件、信息泄露、安全配置等存在的潜在风险。

-支持各类应用

支持对桌面应用(Windows和Linux)、移动应用程序(APK、IPA、Hap等)、嵌入式系统固件等的检测。

-专业分析指导

提供全面、直观的风险汇总信息,并针对不同的扫描告警提供专业的解决方案和修复建议。

如何检测网站漏洞

  • 收起 展开
    购买漏洞扫描 收起 展开

    ① 登录华为云控制台。在控制台页面中选择“安全> 漏洞扫描服务”。

    ② 单击“升级规格”,进入购买页面,选择计费模式、服务版本、购买时长和扫描包数量。

    查看详情
  • 收起 展开
    新增添加域名 收起 展开

    ① 在左侧导航树中,选择“资产列表”,在域名列表的左上角,单击“新增域名”。

    ② 域名信息配置,填写域名名称和“域名/IP地址”。

    ③ 按照界面提示完成域名认证,域名认证成功后,单击“完成认证”,完成网站设置。

    查看详情
  • 收起 展开
    创建扫描任务 收起 展开

    ① 域名认证成功后,在目标域名的“操作”列,单击“扫描”。

    ② 填写域名信息,设置开始扫描时间,选择扫描模式。

    ③ 扫描项设置。根据需要,打开需要扫描的检测项。

    查看详情
  • 收起 展开
    查看扫描结果 收起 展开

    ① 在目标域名所在行的“上一次扫描结果”列,单击分数,进入扫描结果界面。

    ② 单击“下载报告”,查看详细的检测报告。

    ③ 分别查看扫描项总览、漏洞列表、内容风险列表、端口列表、站点结构。

    查看详情

漏洞扫描工具检测的常见问题

漏洞扫描工具检测的常见问题

活动规则

活动对象:华为云电销客户及渠道伙伴客户可参与消费满送活动,其他客户参与前请咨询客户经理

活动时间: 2020年8月12日-2020年9月11日

  • 如何找一个网站的漏洞?

    漏洞扫描的原理是,通过爬虫获取用户网站的URL列表,然后对列表中所有URL进行扫描。如果用户需要快速扫描,可以在创建扫描任务时,“扫描模式”选择“快速扫描”。扫描模式分为:快速扫描、标准扫描、深度扫描。选择深度扫描可以更深层次的发现漏洞,建议您优先选择“深度扫描”。

  • 漏洞扫描工具可以免费使用吗?

    漏洞扫描服务提供了基础版、专业版、高级版和企业版四种服务版本。其中,基础版配额内的服务免费,部分功能按需计费;专业版、高级版和企业版需要收费。基础版配额内提供的网站漏洞扫描服务(域名个数:5个,扫描次数:每日5次)是免费的。

  • 漏洞扫描工具的扫描IP有哪些?

    如果您的网站设置了防火墙或其他安全策略,将导致VSS的扫描IP被当成恶意攻击者而误拦截。因此,在使用VSS前,请您将以下VSS的扫描IP添加至网站访问的白名单中:119.3.232.114,119.3.237.223,124.70.102.147,121.36.13.144,124.70.109.117,139.9.114.20,119.3.176.1

  • 漏洞扫描工具能修复扫描出来的漏洞吗?

    漏洞扫描服务不能修复扫描出来的漏洞。漏洞扫描服务是一款漏洞扫描工具,能为您发现您的资产存在的漏洞,不能进行资产漏洞修复,但漏洞扫描服务会为您提供详细的扫描结果以及修复建议,请您自行选择修复方法进行修复。

  • 漏洞扫描服务VSS和传统的漏洞扫描器有什么区别?

    传统的漏洞扫描器使用前需要安装客户端,手动更新漏洞库,容易造成更新不及时。漏洞扫描服务VSS不需要安装客户端,在管理控制台创建任务(输入域名或IP地址)就可以进行漏洞扫描,节约运维成本;云端同步更新漏洞库,涵盖最新漏洞,可以及时检测用户的网站是否有最新爆发的漏洞威胁。

  • 漏洞扫描工具支持扫描哪些漏洞?

    漏洞扫描服务支持扫描的漏洞有:弱口令检测(SSH、FTP、RDP、SMB、MYSQL等)、前端漏洞(SQL注入、XSS、CSRF、URL跳转等)、信息泄露(端口暴露,目录遍历,备份文件,不安全文件等)、Web注入漏洞(命令注入,代码注入,XPATH注入等)、文件包含漏洞(任意文件读取、任意文件包含、任意文件上传、XXE)。

  • 网站漏洞扫描一次需要多久?

    网站漏洞扫描的时长,跟多种因素相关,包括网站规模(即自动爬取的页面数)、网站响应速度、页面复杂度、网络环境等,通常扫描时长为小时级别,最长不超过24小时。测试环境下,200个页面的网站完成一次全量扫描耗时约1个小时,这里仅供参考,请以实际扫描时间为准。另外扫描的过程中会向网站发送一定数量的检测请求,可能会导致网站的负载小幅度增大。

  • 标准扫描、快速扫描和深度扫描有哪些区别?

    快速扫描:扫描的网站URL数量有限且VSS会开启耗时较短的扫描插件进行扫描。深度扫描:扫描的网站URL数量不限且VSS会开启所有的扫描插件进行耗时较长的遍历扫描。标准扫描:扫描的网站URL数量和耗时都介于“快速扫描”和“深度扫描”两者之间。

  • 漏洞扫描工具可以扫描域名下的项目吗?

    VSS采用网页爬虫的方式全面深入的爬取网站url,然后针对爬取出来的页面模拟黑客进行试探攻击,帮助您发现网站潜在的安全隐患。如果域名下的项目没有被VSS爬取出来,则该项目不会被VSS扫描到。您可以通过网站扫描详情,查看域名下的项目是否被VSS扫描到。

  • 漏洞扫描工具如何收费和续费?

    VSS提供按需计费和包年/包月两种计费模式,用户可以根据实际需求选择计费模式,详细的费用请参见产品价格详情。扫描配额包到期后,您可以进行续费以延长扫描配额包的有效期,也可以设置到期自动续费。续费相关操作,请参见续费管理