网站漏洞扫描的功能特性

网站漏洞扫描工具是漏洞扫描服务VSS能力之一,能帮助您快速检测出您的网站存在的漏洞,提供详细的漏洞分析报告,并针对不同类型的漏洞提供专业可靠的修复建议。

网站漏洞扫描能力

-具有OWASP TOP10和WASC的漏洞检测能力,支持扫描22种类型以上的漏洞。

-扫描规则云端自动更新,全网生效,及时涵盖最新爆发的漏洞。

-支持HTTPS扫描。

一站式漏洞管理

-支持任务完成后短信通知用户。如果您希望在扫描任务执行完成后收到短信通知,请购买专业版、高级版或者企业版。

-提供漏洞修复建议。如果您需要查看修复建议,请购买专业版、高级版或者企业版。

-支持下载扫描报告,用户可以离线查看漏洞信息,报告格式为PDF。如果您需要下载扫描报告,请购买专业版、高级版或者企业版。

-支持重新扫描。

支持端口扫描

-扫描服务器端口的开放状态,检测出容易被黑客发现的“入侵通道”。

自定义扫描

-支持任务定时扫描。

-支持基于用户名密码登录、基于自定义Cookie登录。

-支持Web 2.0高级爬虫扫描。

-支持自定义Header扫描。

-支持手动导入探索文件来进行被动扫描。

网站漏洞扫描的产品优势

扫描全面

涵盖多种类型资产扫描,支持云内外网站、主机漏洞、二进制成分分析和移动应用安全,智能关联各资产,自动发现资产指纹信息,避免扫描盲区。

简单易用

配置简单,一键全网扫描。可自定义扫描事件,分类管理资产安全,让运维工作更简单,风险状况更清晰了然。

高效精准

采用Web2.0智能爬虫技术,内部验证机制不断自测和优化,提高检测准确率。

时刻关注业界紧急CVE爆发漏洞情况,自动扫描,快速了解资产安全风险。

快速排查用户软件包/固件中的开源软件、安全配置等风险。

报告全面

清晰简洁的扫描报告,多角度分析资产安全风险,多元化数据呈现,将安全数据智能分析和整合,使安全现状清晰明了。

网站漏洞扫描的计费模式

漏洞扫描服务(网站漏洞扫描)提供了基础版、专业版、高级版和企业版四种服务版本。其中,基础版配额内的服务免费,部分功能按需计费;专业版、高级版和企业版需要收费。

基础版

1.基础版配额内仅支持Web网站漏洞扫描(域名个数:5个,扫描次数:5个域名每日总共可以扫描5次)是免费的。

2.基础版提供的以下功能按需计费:

-可以将Web漏洞扫描或主机漏洞扫描任务升级为专业版规格进行 扫描完成后进行一次性扣费。

-主机扫描一次最多支持20台主机。

专业版、高级版和企业版

相对于按需付费,包年/包月购买方式能够提供更大的折扣,对于长期使用者,推荐该方式。包周期计费为按照订单的购买周期来进行结算。

网站漏洞扫描工具常见问题

  • 网站漏洞扫描一次需要多久?

    ▶网站漏洞扫描的时长,跟多种因素相关,包括网站规模(即自动爬取的页面数)、网站响应速度、页面复杂度、网络环境等,通常扫描时长为小时级别,最长不超过24小时。

    测试环境下,200个页面的网站完成一次全量扫描耗时约1个小时,这里仅供参考,请以实际扫描时间为准。

    另外扫描的过程中会向网站发送一定数量的检测请求,可能会导致网站的负载小幅度增大。

  • 如何快速发现网站漏洞?

    ▶漏洞扫描的原理是,通过爬虫获取用户网站的URL列表,然后对列表中所有URL进行扫描。

    如果用户需要快速扫描,可以在创建扫描任务时,“扫描模式”选择“快速扫描”,如图1所示。

    说明:扫描模式分为:快速扫描、标准扫描、深度扫描。选择深度扫描可以更深层次的发现漏洞,建议您优先选择“深度扫描”。

  • 认证文件有什么用途?

    认证文件是为了验证用户和被扫描的网站的所有权。华为云漏洞扫描服务不同于一般的扫描工具,需要确保用户扫描的网站的所有权是用户自己。因为VSS的扫描原理是基于自动化渗透测试(对被扫描的对象发送非恶意的“攻击报文”)。

    漏洞扫描服务为了验证用户和被扫描的网站的所有权,会生成一个唯一的文件,只要该文件存放到网站根目录下,文件能够正常被外界访问,漏洞扫描服务就认为当前用户拥有该站点的所有权。

  • 认证文件有什么用途?

    可用区是同一服务区内,电力和网络互相独立的地理区域,一般是一个独立的物理机房,这样可以保证可用区的独立性。

    一个区域内有多个可用区,一个可用区发生故障后不会影响同一区域内下的其它可用区。

    可用区间通过内网访问。

  • 为什么任务扫描中途就自动取消了?

    如果一个任务扫描到一半被系统自动取消了,可能有以下两个原因:

    1.没有配置“网站登录设置”信息。

    用户没有配置“网站登录设置”信息,漏洞扫描服务无法进行深入的访问,任务就会自动取消。 建议设置“网站登录设置”信息后,重新扫描。

    2.扫描过程中,出现了网络问题。

    网络异常,漏洞扫描服务将无法访问网站,任务就会自动取消。建议网络正常后,重新扫描。


  • 如何查看漏洞扫描服务扫描出的网站结构?

    执行完漏洞扫描任务后,进入“总览”页面,在“最近扫描任务列表”中,单击目标扫描对象,进入任务详情页面,单击“站点结构”页签,查看网站结构。

    说明:站点结构展示的是任务扫描出的漏洞对应的网页地址及整体结构,如果任务暂未扫描出漏洞,站点结构无数据显示。

  • 域名认证完成后网站根目录下面的认证文件可以删除吗?

    不可以。漏洞扫描服务在后续扫描过程中会读取该文件,验证网站的所有权是否仍然有效。

    如果认证文件被删除,当再次对该域名进行扫描时,会提示失败。。

  • 购买mysql云服务器资源提示售罄怎么办?

    每个区域有多个可用区,如果当前可用区资源售罄,建议您更换其他可用区购买。

  • 如果网站登录需要动态验证码可以使用漏洞扫描服务的自动登录功能吗?

    可以。只需要用户在网站登录设置页面配置网站的Cookie值,如何配置网站的Cookie值请参见为什么扫描任务自动登录失败了?

  • 网站扫描是否可以加/web访问?

    可以。创建扫描任务页面,填写目标网址时可以加上网页路径。

    例如:目标网址是“https://www.example.com”,扫描的网址加上具体的网页路径后“https://www.example.com/login.php”。