安全漏洞扫描

什么是安全漏洞扫描?

安全漏洞扫描集Web漏洞扫描、操作系统漏洞扫描、资产及内容合规检测、安全配置基线检查、弱密码检测、开源合规及漏洞检查、移动应用安全检查七大核心功能为一体,自动发现网站或服务器在网络中的安全风险,为云上业务提供多维度的安全检测服务,满足合规要求,让安全弱点无所遁形。


安全漏洞扫描的优势有哪些?

扫描全面:涵盖多种类型资产扫描,支持云内外网站、主机漏洞、二进制成分分析和移动应用安全,智能关联各资产,自动发现资产指纹信息,避免扫描盲区。

简单易用:配置简单,一键全网扫描。可自定义扫描事件,分类管理资产安全,让运维工作更简单,风险状况更清晰了然。

高效精准:采用Web2.0智能爬虫技术,内部验证机制不断自测和优化,提高检测准确率。时刻关注业界紧急CVE爆发漏洞情况,自动扫描,快速了解资产安全风险。快速排查用户软件包/固件中的开源软件、安全配置等风险。

报告全面:清晰简洁的扫描报告,多角度分析资产安全风险,多元化数据呈现,将安全数据智能分析和整合,使安全现状清晰明了。

展开详情

安全漏洞扫描的应用场景

  • Web漏洞扫描应用场景

    网站的漏洞与弱点易于被黑客利用,形成攻击,带来不良影响,造成经济损失。

    常规漏洞扫描

    丰富的漏洞规则库,可针对各种类型的网站进行全面深入的漏洞扫描,提供专业全面的扫描报告。

    最新紧急漏洞扫描

    针对最新紧急爆发的CVE漏洞,安全专家第一时间分析漏洞、更新规则,提供快速专业的CVE漏洞扫描。

    网站的漏洞与弱点易于被黑客利用,形成攻击,带来不良影响,造成经济损失。

    常规漏洞扫描

    丰富的漏洞规则库,可针对各种类型的网站进行全面深入的漏洞扫描,提供专业全面的扫描报告。

    最新紧急漏洞扫描

    针对最新紧急爆发的CVE漏洞,安全专家第一时间分析漏洞、更新规则,提供快速专业的CVE漏洞扫描。

  • 主机漏洞扫描应用场景

    运行重要业务的主机可能存在漏洞、配置不合规等安全风险。

    支持深入扫描

    通过配置验证信息,可连接到服务器进行OS检测,进行多维度的漏洞、配置检测。

    支持内网扫描

    可以通过跳板机方式访问业务所在的服务器,适配不同企业网络管理场景。

    运行重要业务的主机可能存在漏洞、配置不合规等安全风险。

    支持深入扫描

    通过配置验证信息,可连接到服务器进行OS检测,进行多维度的漏洞、配置检测。

    支持内网扫描

    可以通过跳板机方式访问业务所在的服务器,适配不同企业网络管理场景。

  • 弱密码扫描应用场景

    主机或中间件等资产一般使用密码进行远程登录,攻击者通常使用扫描技术来探测其用户名和弱口令。

    多场景可用

    全方位的OS连接,涵盖90%的中间件,支持标准Web业务弱密码检测、操作系统、数据库等弱口令检测。

    丰富的弱密码库

    丰富的弱密码匹配库,模拟黑客对各场景进行弱口令探测。

    主机或中间件等资产一般使用密码进行远程登录,攻击者通常使用扫描技术来探测其用户名和弱口令。

    多场景可用

    全方位的OS连接,涵盖90%的中间件,支持标准Web业务弱密码检测、操作系统、数据库等弱口令检测。

    丰富的弱密码库

    丰富的弱密码匹配库,模拟黑客对各场景进行弱口令探测。

  • 中间件扫描应用场景

    中间件可帮助用户灵活地开发和集成复杂的应用软件,一旦被黑客发现漏洞并利用,将影响上下层安全。

    丰富的扫描场景

    支持主流Web容器、前台开发框架、后台微服务技术栈的版本漏洞和配置合规扫描。

    多扫描方式可选

    支持通过标准包或者自定义安装等多种方式识别服务器的中间件及其版本,全方位发现服务器的漏洞风险。

    中间件可帮助用户灵活地开发和集成复杂的应用软件,一旦被黑客发现漏洞并利用,将影响上下层安全。

    丰富的扫描场景

    支持主流Web容器、前台开发框架、后台微服务技术栈的版本漏洞和配置合规扫描。

    多扫描方式可选

    支持通过标准包或者自定义安装等多种方式识别服务器的中间件及其版本,全方位发现服务器的漏洞风险。

  • 内容合规检测应用场景

    当网站被发现有不合规言论时,会给企业造成品牌和经济上的多重损失。

    精准识别

    同步更新时政热点和舆情事件的样本数据,准确定位各种涉黄、涉暴涉恐、涉政等敏感内容。

    智能高效

    对文本、图片内容进行上下文语义分析,智能识别复杂变种文本。

    当网站被发现有不合规言论时,会给企业造成品牌和经济上的多重损失。

    精准识别

    同步更新时政热点和舆情事件的样本数据,准确定位各种涉黄、涉暴涉恐、涉政等敏感内容。

    智能高效

    对文本、图片内容进行上下文语义分析,智能识别复杂变种文本。

  • 移动应用安全应用场景

    企业自检或通报后自查

    适用于各类APP发版自检,及通报整改后自查,服务提供详细精确的报告协助企业快速定位修复问题,达到监管合规要求。

    审核机构APP合规审查

    紧贴各类监管规范,提供高效的自动化检测服务,能快速识别存在违规行为的APP。

    企业自检或通报后自查

    适用于各类APP发版自检,及通报整改后自查,服务提供详细精确的报告协助企业快速定位修复问题,达到监管合规要求。

    审核机构APP合规审查

    紧贴各类监管规范,提供高效的自动化检测服务,能快速识别存在违规行为的APP。

安全漏洞扫描 常见问题

安全漏洞扫描 常见问题

活动规则

活动对象:华为云电销客户及渠道伙伴客户可参与消费满送活动,其他客户参与前请咨询客户经理

活动时间: 2020年8月12日-2020年9月11日

活动期间,华为云用户通过活动页面购买云服务,或使用上云礼包优惠券在华为云官网新购云服务,累计新购实付付费金额达到一定额度,可兑换相应的实物礼品。活动优惠券可在本活动页面中“上云礼包”等方式获取,在华为云官网直接购买(未使用年中云钜惠活动优惠券)或参与其他活动的订单付费金额不计入统计范围内;

  • 安全漏洞扫描服务可以免费使用吗?

    漏洞扫描服务提供了基础版、专业版、高级版和企业版四种服务版本。其中,基础版配额内的服务免费,部分功能按需计费;专业版、高级版和企业版需要收费。

    基础版配额内提供的网站漏洞扫描服务(域名个数:5个,扫描次数:每日5次)是免费的。

    有关VSS收费的详细介绍,请参见漏洞扫描服务如何收费?

  • 漏洞扫描服务能修复扫描出来的漏洞吗?

    不能。漏洞扫描服务是一款漏洞扫描工具,能为您发现您的资产存在的漏洞,不能进行资产漏洞修复,但漏洞扫描服务会为您提供详细的扫描结果以及修复建议,请您自行选择修复方法进行修复。

  • 漏洞扫描服务支持扫描哪些漏洞?

    漏洞扫描服务支持扫描的漏洞有:

    1、弱口令检测

    SSH、FTP、RDP、SMB、MYSQL、MSSQL、MongoDB、Redis、Oracle、DB2、GaussDB、Postgres、Telnet。

    2、前端漏洞

    SQL注入、XSS、CSRF、URL跳转等。

    3、信息泄露

    端口暴露,目录遍历,备份文件,不安全文件,不安全HTTP方法,不安全端口。

    4、Web注入漏洞

    命令注入,代码注入,XPATH注入,SSRF注入,反序列化等注入漏洞。

    5、文件包含漏洞

    任意文件读取、任意文件包含、任意文件上传、XXE。

  • 网站漏洞扫描一次需要多久?

    网站漏洞扫描的时长,跟多种因素相关,包括网站规模(即自动爬取的页面数)、网站响应速度、页面复杂度、网络环境等,通常扫描时长为小时级别,最长不超过24小时。

    测试环境下,200个页面的网站完成一次全量扫描耗时约1个小时,这里仅供参考,请以实际扫描时间为准。

    另外扫描的过程中会向网站发送一定数量的检测请求,可能会导致网站的负载小幅度增大。

  • 网站cookie值发生变化时,如何进行网站漏洞扫描?

    当某个网站挂载多个子网站,且需要对这些网站都进行漏洞扫描(使用cookie登录方式)时,如果您从网站主入口登录后,再进入其他子网站,网站的cookie值可能会发生改变。对于cookie值发生改变的子网站,您需要为这些子网站单独创建扫描任务。

    1、有关设置网站cookie登录方式的详细操作,请参见网站登录设置

    2、有关创建扫描任务的详细操作,请参见创建扫描任务

  • 如何解决网站扫描失败,报连接超时的问题?

    网站扫描任务失败,报错为连接超时,可能原因与解决办法如下。

    1、您的被测网站不稳定或无法通过互联网访问,请使用Chrome等浏览器访问网站,确认是否正常访问。

    2、您的网站设置了防火墙或其他安全策略,导致漏洞扫描的引擎IP被当成恶意攻击而拦截。请参见漏洞扫描服务的扫描IP有哪些?为漏洞扫描引擎设置访问白名单。

  • 购买专业版漏洞扫描服务的注意事项?

    如果您在购买专业版之前使用过免费体验版(即基础版)进行扫描,在购买专业版时,“扫描配额包”的选择必须等于或者大于当前资产列表已添加的网站个数。

    1、如果当前资产列表的某个基础版域名,您不想升级为专业版为其付费,请您在购买专业版之前对其进行删除。

    2、如果您只需要将当前基础版域名全部升级为专业版规格,“扫描配额包”的选择等于当前资产列表已添加的网站个数。

    3、如果您需要增加域名配额,即增加扫描的网站个数,“扫描配额包”的选择大于当前资产列表已添加的网站个数,且“扫描配额包”的选择值为您期望的域名配额值。

    购买成功后,当前资产列表所有基础版域名默认升级为专业版,享受专业版规格。

  • 扫描的安全漏洞告警如何分析定位?

    1、报告提供了问题代码信息,包括文件名及其路径,可以通过该信息快速定位到问题文件。

    2、漏洞特征信息,主要为安全漏洞所涉及的函数代码。

    3、安全漏洞修复建议,结合上述代码信息确定具体告警位置,分析漏洞告警是否确认为安全漏洞。

  • 哪些场景下检测结果可能会存在漏报?

    1、加固加壳的应用,例如通过爱加密加固。

    2、使用不支持无障碍服务UI框架开发的应用,例如游戏。

    3、SDK版本低于18。

  • 任务部分检测项有数值,但任务状态显示失败?

    每个任务会进行多个检测项的检查,如基础安全检测、违规收集信息检测、隐私声明一致性检测等,整个检测过程分为应用解析、静态分析、动态运行三个阶段,因为应用自身原因,如闪退、无法解析、无法安装等原因导致其中某个阶段出现异常的时候任务会中止。这时候已经有了一部分检测结果,但为了保证整体任务检测完整性,我们会判定当前任务失败,且报告不可查看,扫描失败的任务不扣费。

安全漏洞扫描 视频教程

安全漏洞扫描 域名认证的操作流程

02:18

安全漏洞扫描 域名认证的操作流程

安全漏洞扫描 创建网站扫描任务

02:27

安全漏洞扫描 创建网站扫描任务

安全漏洞扫描 主机扫描的操作流程

04:54

安全漏洞扫描 主机扫描的操作流程

安全漏洞扫描 查看漏洞检测日志

02:07

安全漏洞扫描 查看漏洞检测日志

安全漏洞扫描 创建移动应用安全扫描

02:16

安全漏洞扫描 创建移动应用安全扫描

安全漏洞扫描 创建二进制成分分析

02:24

安全漏洞扫描 创建二进制成分分析