web安全漏洞扫描_在线网页漏洞扫描

Web安全漏洞扫描

免费体验

Web安全漏洞扫描

漏洞扫描工作原理

漏洞扫描服务具有Web网站扫描和主机扫描两种扫描能力。

· Web网站扫描

采用网页爬虫的方式全面深入的爬取网站url，基于多种不同能力的漏洞扫描插件，模拟用户真实浏览场景，逐个深度分析网站细节，帮助用户发现网站潜在的安全隐患。同时内置了丰富的无害化扫描规则，以及扫描速率动态调整能力，可有效避免用户网站业务受到影响。

· 主机扫描

经过用户授权（支持账密授权）访问用户主机，漏洞扫描服务能够自动发现并检测主机操作系统、中间件等版本漏洞信息和基线配置，实时同步官网更新的漏洞库匹配漏洞特征，帮助用户及时发现主机安全隐患。

· 移动应用安全

对用户提供的安卓、鸿蒙应用进行安全漏洞、隐私合规检测，基于静态分析技术，结合数据流静态污点跟踪，检测权限、组件、网络、等APP基础安全漏洞，并提供详细的漏洞信息及修复建议。

· 二进制成分分析

对用户提供的二进制软件包/固件进行全面分析，通过解压获取包中所有待分析文件，基于组件特征识别技术、静态检测技术以及各种风险检测规则，获得相关被测对象的组件BOM清单和潜在风险清单，并输出一份专业的分析报告。

漏洞管理服务产品优势

扫描全面：涵盖多种类型资产扫描，支持云内外网站、主机漏洞、二进制成分分析和移动应用安全，智能关联各资产，自动发现资产指纹信息，避免扫描盲区。

简单易用：配置简单，一键全网扫描。可自定义扫描事件，分类管理资产安全，让运维工作更简单，风险状况更清晰了然。

高效精准：采用Web2.0智能爬虫技术，内部验证机制不断自测和优化，提高检测准确率。时刻关注业界紧急CVE爆发漏洞情况，自动扫描，快速了解资产安全风险。快速排查用户软件包/固件中的开源软件、安全配置等风险。

报告全面：清晰简洁的扫描报告，多角度分析资产安全风险，多元化数据呈现，将安全数据智能分析和整合，使安全现状清晰明了。

漏洞扫描工具快速入门指导

收起

购买漏洞管理服务收起

步骤：
① 登录华为云控制台。在控制台页面中选择“安全> 漏洞扫描服务”。
② 单击“升级规格”，进入购买页面，选择计费模式、服务版本、购买时长和扫描包数量。
说明：
漏洞管理服务提供基础版、专业版、高级版和企业版扫描服务，基础版可免费使用，但是功能和规格受限，专业版、高级版和企业版需付费，具体功能和规格对比参见版本功能规格说明了解详情。

了解详细步骤
收起

新增网站收起

步骤：
① 在“资产列表 > 网站”页签，单击“新建网站”，进入“新建网站 > 填写网站信息”页面。
② 单击左上角“添加”，配置网站信息。
③ 按照界面提示完成网站认证并配置网站登录信息。
说明：
① 可添加的域名个数，由您购买的域名配额数决定，若域名配额数不够，可域名配额扩容。
② 如果待检测站点的服务器搭建在华为云上，且该服务器是您当前登录账号的资产，您可以选择“一键认证”按钮进行快速认证。

了解详细步骤
收起

创建扫描任务收起

步骤：
① 网站添加成功后，在目标域名的“操作”列，单击“扫描”。
② 在弹出的“创建任务”页面中配置扫描信息。
③ 扫描项设置。根据需要，打开需要扫描的检测项。
说明：
如果您目前为基础版，只是需要享受单次专业版扫描服务，请打开“是否将本次扫描升级为专业版规格”开关。

了解详细步骤
收起

查看扫描结果收起

步骤：
① 在目标网站所在行的“安全等级”列，单击“查看报告”，进入扫描结果界面。
② 单击“下载报告”，查看详细的检测报告。
③ 分别查看扫描项总览、漏洞列表、内容风险列表、端口列表、站点结构。
说明：
基础版不支持下载报告功能，为了更好的防护您的资产，建议您购买专业版或者企业版漏洞扫描服务。

了解详细步骤

Web安全漏洞扫描用户指南

安全漏洞扫描开通服务

系统漏洞扫描主机扫描

在线网页漏洞扫描操作指南

网站漏洞扫描相关步骤

安全监测相关步骤

安全漏洞扫描产品简介

Web安全漏洞扫描常见问题

网页漏洞扫描服务可以免费使用吗？

漏洞管理服务提供了基础版、专业版、高级版和企业版四种服务版本。其中，基础版配额内的服务免费，部分功能按需计费；专业版、高级版和企业版需要收费。
基础版配额内提供的网站漏洞扫描服务（域名个数：5个，扫描次数：每日5次）是免费的。
有关VSS收费的详细介绍，请参见漏洞扫描服务如何收费？。
网页漏洞管理服务能修复扫描出来的漏洞吗？

不能。漏洞管理服务是一款漏洞扫描工具，能为您发现您的资产存在的漏洞，不能进行资产漏洞修复，但漏洞扫描服务会为您提供详细的扫描结果以及修复建议，请您自行选择修复方法进行修复。
漏洞管理服务支持扫描哪些漏洞？

漏洞扫描服务支持扫描的漏洞有：
1、弱口令检测
SSH、FTP、RDP、SMB、MYSQL、MSSQL、MongoDB、Redis、Oracle、DB2、GaussDB、Postgres、Telnet。
2、前端漏洞
SQL注入、XSS、CSRF、URL跳转等。
3、信息泄露
端口暴露，目录遍历，备份文件，不安全文件，不安全HTTP方法，不安全端口。
4、Web注入漏洞
命令注入，代码注入，XPATH注入，SSRF注入，反序列化等注入漏洞。
5、文件包含漏洞
任意文件读取、任意文件包含、任意文件上传、XXE。
在线网页漏洞扫描一次需要多久？

网站漏洞扫描的时长，跟多种因素相关，包括网站规模（即自动爬取的页面数）、网站响应速度、页面复杂度、网络环境等，通常扫描时长为小时级别，最长不超过24小时。
测试环境下，200个页面的网站完成一次全量扫描耗时约1个小时，这里仅供参考，请以实际扫描时间为准。
另外扫描的过程中会向网站发送一定数量的检测请求，可能会导致网站的负载小幅度增大。
网站cookie值发生变化时，如何进行网页漏洞扫描？

当某个网站挂载多个子网站，且需要对这些网站都进行漏洞扫描（使用cookie登录方式）时，如果您从网站主入口登录后，再进入其他子网站，网站的cookie值可能会发生改变。对于cookie值发生改变的子网站，您需要为这些子网站单独创建扫描任务。
1、有关设置网站cookie登录方式的详细操作，请参见网站登录设置。
2、有关创建扫描任务的详细操作，请参见创建扫描任务。
如何解决网页漏洞扫描失败，报连接超时的问题？

网站扫描任务失败，报错为连接超时，可能原因与解决办法如下。
1、您的被测网站不稳定或无法通过互联网访问，请使用Chrome等浏览器访问网站，确认是否正常访问。
2、您的网站设置了防火墙或其他安全策略，导致漏洞扫描的引擎IP被当成恶意攻击而拦截。请参见漏洞扫描服务的扫描IP有哪些？为漏洞扫描引擎设置访问白名单。
购买专业版安全漏洞管理服务的注意事项？

如果您在购买专业版之前使用过免费体验版（即基础版）进行扫描，在购买专业版时，“扫描配额包”的选择必须等于或者大于当前资产列表已添加的网站个数。
1、如果当前资产列表的某个基础版域名，您不想升级为专业版为其付费，请您在购买专业版之前对其进行删除。
2、如果您只需要将当前基础版域名全部升级为专业版规格，“扫描配额包”的选择等于当前资产列表已添加的网站个数。
3、如果您需要增加域名配额，即增加扫描的网站个数，“扫描配额包”的选择大于当前资产列表已添加的网站个数，且“扫描配额包”的选择值为您期望的域名配额值。
购买成功后，当前资产列表所有基础版域名默认升级为专业版，享受专业版规格。
扫描的安全漏洞告警如何分析定位？

1、报告提供了问题代码信息，包括文件名及其路径，可以通过该信息快速定位到问题文件。
2、漏洞特征信息，主要为安全漏洞所涉及的函数代码。
3、安全漏洞修复建议，结合上述代码信息确定具体告警位置，分析漏洞告警是否确认为安全漏洞。
哪些场景下安全漏洞扫描检测结果可能会存在漏报？

1、加固加壳的应用，例如通过爱加密加固。
2、使用不支持无障碍服务UI框架开发的应用，例如游戏。
3、SDK版本低于18。
任务部分检测项有数值，但任务状态显示失败？

每个任务会进行多个检测项的检查，如基础安全检测、违规收集信息检测、隐私声明一致性检测等，整个检测过程分为应用解析、静态分析、动态运行三个阶段，因为应用自身原因，如闪退、无法解析、无法安装等原因导致其中某个阶段出现异常的时候任务会中止。这时候已经有了一部分检测结果，但为了保证整体任务检测完整性，我们会判定当前任务失败，且报告不可查看，扫描失败的任务不扣费。