web安全漏洞扫描工具就用华为云漏洞扫描服务


漏洞扫描服务(Vulnerability Scan Service,简称VSS)是针对网站、主机、移动应用、软件包/固件进行漏洞扫描的一种安全检测服务,目前提供通用漏洞检测、漏洞生命周期管理、自定义扫描多项服务。扫描成功后,提供扫描报告详情,用于查看漏洞明细、修复建议等信息。

web安全漏洞扫描工作原理:

漏洞扫描服务具有Web网站扫描和主机扫描两种扫描能力。

1.Web网站扫描

采用网页爬虫的方式全面深入的爬取网站url,基于多种不同能力的漏洞扫描插件,模拟用户真实浏览场景,逐个深度分析网站细节,帮助用户发现网站潜在的安全隐患。

2.主机扫描

经过用户授权(支持账密授权)访问用户主机,漏洞扫描服务能够自动发现并检测主机操作系统、中间件等版本漏洞信息和基线配置。

3.移动应用安全

对用户提供的安卓、鸿蒙应用进行安全漏洞、隐私合规检测,基于静态分析技术,结合数据流静态污点跟踪,检测权限、组件、网络、等APP基础安全漏洞,并提供详细的漏洞信息及修复建议。

web安全漏洞扫描功能特性

漏洞扫描服务可以帮助您快速检测出您的网站、主机、移动应用和软件包/固件存在的漏洞,提供详细的漏洞分析报告,并针对不同类型的漏洞提供专业可靠的修复建议。

web安全漏洞扫描功能特性

漏洞扫描服务可以帮助您快速检测出您的网站、主机、移动应用和软件包/固件存在的漏洞,提供详细的漏洞分析报告,并针对不同类型的漏洞提供专业可靠的修复建议。

  • 网站漏洞扫描:

    ●具有OWASP TOP10和WASC的漏洞检测能力,支持扫描22种类型以上的漏洞。

    ●扫描规则云端自动更新,全网生效,及时涵盖最新爆发的漏洞。

    ●支持HTTPS扫描。

  • 一站式漏洞管理:

    ●支持任务完成后短信通知用户。如果您希望在扫描任务执行完成后收到短信通知,请购买专业版、高级版或者企业版。

    ●提供漏洞修复建议。如果您需要查看修复建议,请购买专业版、高级版或者企业版。

    ●支持下载扫描报告,用户可以离线查看漏洞信息,报告格式为PDF。●如果您需要下载扫描报告,请购买专业版、高级版或者企业版。

    ●支持重新扫描。

  • 支持弱密码扫描:

    ●多场景可用

    全方位的OS连接,涵盖90%的中间件,支持标准Web业务弱密码检测、操作系统、数据库等弱口令检测。


    ●丰富的弱密码库

    丰富的弱密码匹配库,模拟黑客对各场景进行弱口令探测。

  • 支持端口扫描:

    ●扫描服务器端口的开放状态,检测出容易被黑客发现的“入侵通道”。

  • 自定义扫描:

    ●支持任务定时扫描。

    ●支持自定义登录方式。

    ●支持Web 2.0高级爬虫扫描。

    ●支持自定义Header扫描。

  • 主机漏洞扫描:

    ●支持深入扫描

    通过配置验证信息,可连接到服务器进行OS检测,进行多维度的漏洞、配置检测。

    ●支持内网扫描

    可以通过跳板机方式访问业务所在的服务器,适配不同企业网络管理场景。

    ●支持中间件扫描

  • 二进制成分分析:

    ●全方位风险检测

    对软件包/固件进行全面分析,基于各类检测规则,获得相关被测对象的开源软件、信息泄露、安全配置等存在的潜在风险。

    ●支持各类应用

    支持对桌面应用(Windows和Linux)、移动应用程序(APK、IPA、Hap等)、嵌入式系统固件等的检测。

    ●专业分析指导

    提供全面、直观的风险汇总信息,并针对不同的扫描告警提供专业的解决方案和修复建议。

  • 二进制成分分析:

    ●移动应用安全服务能快速扫描您的应用,并提供详细的检测报告,协助你快速定位修复问题。

展开内容
收起内容

web安全漏洞扫描常见问题

web安全漏洞扫描常见问题

  • 漏洞扫描服务的扫描IP有哪些?

    ▶ 如果您的网站设置了防火墙或其他安全策略,将导致VSS的扫描IP被当成恶意攻击者而误拦截。因此,在使用VSS前,请您将以下VSS的扫描IP添加至网站访问的白名单中:

    119.3.232.114,119.3.237.223,124.70.102.147,121.36.13.144,124.70.109.117,139.9.114.20,119.3.176.1

  • 漏洞扫描服务可以免费使用吗?

    ▶漏洞扫描服务提供了基础版、专业版、高级版和企业版四种服务版本。其中,基础版配额内的服务免费,部分功能按需计费;专业版、高级版和企业版需要收费。


    基础版配额内提供的网站漏洞扫描服务(域名个数:5个,扫描次数:每日5次)是免费的。

  • 漏洞扫描服务到期后还能继续使用吗?

    ▶漏洞扫描服务到期后,可以继续使用基础版的所有功能。

  • 漏洞扫描服务能修复扫描出来的漏洞吗?

    ▶漏洞扫描服务是一款漏洞扫描工具,能为您发现您的资产存在的漏洞,不能进行资产漏洞修复,但漏洞扫描服务会为您提供详细的扫描结果以及修复建议,请您自行选择修复方法进行修复。

  • 漏洞扫描服务支持扫描哪些漏洞?

    ▶ 漏洞扫描服务支持扫描的漏洞有:


    弱口令检测

    SSH、FTP、RDP、SMB、MYSQL、MSSQL、MongoDB、Redis、Oracle、DB2、GaussDB、Postgres、Telnet。


    前端漏洞

    SQL注入、XSS、CSRF、URL跳转等。


    信息泄露

    端口暴露,目录遍历,备份文件,不安全文件,不安全HTTP方法,不安全端口。


    Web注入漏洞

    命令注入,代码注入,XPATH注入,SSRF注入,反序列化等注入漏洞。


    文件包含漏洞

    任意文件读取、任意文件包含、任意文件上传、XXE。

  • 漏洞扫描服务可以跨区域使用吗?

    漏洞扫描服务是全局服务,不区分区域(Region),因此可以跨区域使用。

  • 漏洞扫描服务可以对网站文字和图片改变进行检测吗?

    VSS支持对网页的内容合规进行检测,不支持对网站文字和图片改变进行检测。

  • 漏洞扫描服务支持扫描SQL注入吗?

    ▶ 漏洞扫描服务支持扫描前端漏洞(SQL注入、XSS、CSRF、URL跳转等)。

  • VSS与HSS、WAF有什么区别?

    VSS支持主机和Web漏洞扫描,从攻击者的视角扫描漏洞,提供详细的漏洞分析报告,并针对不同类型的漏洞提供专业可靠的修复建议。HSS是提升主机整体安全性的服务,通过安装在主机上的Agent守护主机安全,全面识别并管理主机中的信息资产。


    WAF是对网站业务流量进行多维度检测和防护,降低数据被篡改、失窃的风险。


    华为云提供的VSS、HSS、WAF服务,帮助您全面从网站、主机、Web应用等层面防御风险和威胁,提升系统安全指数。建议三个服务搭配使用。

  • 网站漏洞扫描一次需要多久?

    ▶ 网站漏洞扫描的时长,跟多种因素相关,包括网站规模(即自动爬取的页面数)、网站响应速度、页面复杂度、网络环境等,通常扫描时长为小时级别,最长不超过24小时。


    测试环境下,200个页面的网站完成一次全量扫描耗时约1个小时,这里仅供参考,请以实际扫描时间为准。


    另外扫描的过程中会向网站发送一定数量的检测请求,可能会导致网站的负载小幅度增大。

漏洞扫描工具必看文档

  • 漏洞扫描服务扫描本地物理服务器

    漏洞扫描服务可以扫描本地的物理服务器。若需要扫描本地的物理服务器,需要满足以下条件。本地网络可通外网。本地物理服务器为Linux操作系统,且满足以下版本要求

    漏洞扫描服务可以扫描本地的物理服务器。若需要扫描本地的物理服务器,需要满足以下条件。本地网络可通外网。本地物理服务器为Linux操作系统,且满足以下版本要求

  • 漏洞扫描服务的规格差异

    漏洞扫描服务提供了基础版、专业版、高级版和企业版四种服务版本。其中,基础版配额内的服务免费,部分功能按需计费;专业版、高级版和企业版需要收费。

    漏洞扫描服务提供了基础版、专业版、高级版和企业版四种服务版本。其中,基础版配额内的服务免费,部分功能按需计费;专业版、高级版和企业版需要收费。

  • 修复扫描出来的主机漏洞

    不同的主机系统修复漏洞的方法有所不同,软件漏洞的修复需要具有一定专业知识的人员进行操作,根据服务器的情况进行漏洞修复,可参考漏洞扫描服务给出的修复建议。

    不同的主机系统修复漏洞的方法有所不同,软件漏洞的修复需要具有一定专业知识的人员进行操作,根据服务器的情况进行漏洞修复,可参考漏洞扫描服务给出的修复建议。

  • 漏洞扫描工具计费说明

    本小节主要介绍漏洞扫描服务的计费说明,包括计费项、计费模式、续费等。VSS根据您的VSS服务版本,扫描配额包的个数和购买时长计费。VSS提供按需计费和包年/包月两种计费模式,用户可以根据实际需求选择计费模式。

    本小节主要介绍漏洞扫描服务的计费说明,包括计费项、计费模式、续费等。VSS根据您的VSS服务版本,扫描配额包的个数和购买时长计费。VSS提供按需计费和包年/包月两种计费模式,用户可以根据实际需求选择计费模式。

  • 扫描的安全漏洞告警如何分析定位?

    扫描的安全漏洞告警如何分析定位?针对移动扫描的安全漏洞,如何通过报告提供的信息进行分析、定位、修复?检测结果提供了如下信息:签名安全监测和DATA风险监测。

    扫描的安全漏洞告警如何分析定位?针对移动扫描的安全漏洞,如何通过报告提供的信息进行分析、定位、修复?检测结果提供了如下信息:签名安全监测和DATA风险监测。

  • 漏洞扫描服务权限管理

    如果需要对华为云上购买的VSS资源,为员工设置不同的访问权限,您可以使用统一身份认证服务进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制华为云资源的访问。

    如果需要对华为云上购买的VSS资源,为员工设置不同的访问权限,您可以使用统一身份认证服务进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制华为云资源的访问。

  • 漏洞扫描服务如何收费?

    计费项:VSS根据您的VSS服务版本,扫描配额包的个数和购买时长计费。计费模式:VSS提供按需计费和包年/包月两种计费模式,用户可以根据实际需求选择计费模式。

    计费项:VSS根据您的VSS服务版本,扫描配额包的个数和购买时长计费。计费模式:VSS提供按需计费和包年/包月两种计费模式,用户可以根据实际需求选择计费模式。

  • 如何使用漏洞扫描服务

    漏洞扫描服务是针对网站进行漏洞扫描的一种安全检测服务,目前提供通用漏洞检测、漏洞生命周期管理、自定义扫描多项服务。用户新建任务后,即可人工触发扫描任务,检测出网站的漏洞并给出漏洞修复建议。

    漏洞扫描服务是针对网站进行漏洞扫描的一种安全检测服务,目前提供通用漏洞检测、漏洞生命周期管理、自定义扫描多项服务。用户新建任务后,即可人工触发扫描任务,检测出网站的漏洞并给出漏洞修复建议。

  • 如何下载网站扫描报告?

    如何下载网站扫描报告?当网站扫描任务成功完成后,您可以下载任务报告,报告目前只支持PDF格式。已成功完成网站扫描任务,即目标域名的“上一次扫描结果”状态为“已完成”。

    如何下载网站扫描报告?当网站扫描任务成功完成后,您可以下载任务报告,报告目前只支持PDF格式。已成功完成网站扫描任务,即目标域名的“上一次扫描结果”状态为“已完成”。

web安全漏洞扫描常见问题

web安全漏洞扫描常见问题

  • 漏洞扫描服务的扫描IP有哪些?

    ▶ 如果您的网站设置了防火墙或其他安全策略,将导致VSS的扫描IP被当成恶意攻击者而误拦截。因此,在使用VSS前,请您将以下VSS的扫描IP添加至网站访问的白名单中:

    119.3.232.114,119.3.237.223,124.70.102.147,121.36.13.144,124.70.109.117,139.9.114.20,119.3.176.1

  • 漏洞扫描服务可以免费使用吗?

    ▶漏洞扫描服务提供了基础版、专业版、高级版和企业版四种服务版本。其中,基础版配额内的服务免费,部分功能按需计费;专业版、高级版和企业版需要收费。


    基础版配额内提供的网站漏洞扫描服务(域名个数:5个,扫描次数:每日5次)是免费的。

  • 漏洞扫描服务到期后还能继续使用吗?

    ▶漏洞扫描服务到期后,可以继续使用基础版的所有功能。

  • 漏洞扫描服务能修复扫描出来的漏洞吗?

    ▶漏洞扫描服务是一款漏洞扫描工具,能为您发现您的资产存在的漏洞,不能进行资产漏洞修复,但漏洞扫描服务会为您提供详细的扫描结果以及修复建议,请您自行选择修复方法进行修复。

  • 漏洞扫描服务支持扫描哪些漏洞?

    ▶ 漏洞扫描服务支持扫描的漏洞有:


    弱口令检测

    SSH、FTP、RDP、SMB、MYSQL、MSSQL、MongoDB、Redis、Oracle、DB2、GaussDB、Postgres、Telnet。


    前端漏洞

    SQL注入、XSS、CSRF、URL跳转等。


    信息泄露

    端口暴露,目录遍历,备份文件,不安全文件,不安全HTTP方法,不安全端口。


    Web注入漏洞

    命令注入,代码注入,XPATH注入,SSRF注入,反序列化等注入漏洞。


    文件包含漏洞

    任意文件读取、任意文件包含、任意文件上传、XXE。

  • 漏洞扫描服务可以跨区域使用吗?

    漏洞扫描服务是全局服务,不区分区域(Region),因此可以跨区域使用。

  • 漏洞扫描服务可以对网站文字和图片改变进行检测吗?

    VSS支持对网页的内容合规进行检测,不支持对网站文字和图片改变进行检测。

  • 漏洞扫描服务支持扫描SQL注入吗?

    ▶ 漏洞扫描服务支持扫描前端漏洞(SQL注入、XSS、CSRF、URL跳转等)。

  • VSS与HSS、WAF有什么区别?

    VSS支持主机和Web漏洞扫描,从攻击者的视角扫描漏洞,提供详细的漏洞分析报告,并针对不同类型的漏洞提供专业可靠的修复建议。HSS是提升主机整体安全性的服务,通过安装在主机上的Agent守护主机安全,全面识别并管理主机中的信息资产。


    WAF是对网站业务流量进行多维度检测和防护,降低数据被篡改、失窃的风险。


    华为云提供的VSS、HSS、WAF服务,帮助您全面从网站、主机、Web应用等层面防御风险和威胁,提升系统安全指数。建议三个服务搭配使用。

  • 网站漏洞扫描一次需要多久?

    ▶ 网站漏洞扫描的时长,跟多种因素相关,包括网站规模(即自动爬取的页面数)、网站响应速度、页面复杂度、网络环境等,通常扫描时长为小时级别,最长不超过24小时。


    测试环境下,200个页面的网站完成一次全量扫描耗时约1个小时,这里仅供参考,请以实际扫描时间为准。


    另外扫描的过程中会向网站发送一定数量的检测请求,可能会导致网站的负载小幅度增大。