二进制漏洞扫描开操作指引

您可以在华为云官网免费试用漏洞扫描工具体验二进制漏洞扫描。二进制漏洞扫描工具的操作指引如下:

1.添加任务

2.管理任务,具体操作请参见管理任务

3.查看扫描详情,具体操作请参考查看扫描详情

4.下载网站扫描报告

5.相关术语说明

二进制漏洞扫描的功能特性

全方位风险检测

-对软件包/固件进行全面分析,基于各类检测规则,获得相关被测对象的开源软件、信息泄露、安全配置等存在的潜在风险。

支持各类应用

-支持对桌面应用(Windows和Linux)、移动应用程序(APK、IPA、Hap等)、嵌入式系统固件等的检测。

专业分析指导

-提供全面、直观的风险汇总信息,并针对不同的扫描告警提供专业的解决方案和修复建议。


二进制成分分析漏洞扫描的产品优势

扫描全面

涵盖多种类型资产扫描,支持云内外网站、主机漏洞、二进制成分分析和移动应用安全,智能关联各资产,自动发现资产指纹信息,避免扫描盲区。

简单易用

配置简单,一键全网扫描。可自定义扫描事件,分类管理资产安全,让运维工作更简单,风险状况更清晰了然。

高效精准

采用Web2.0智能爬虫技术,内部验证机制不断自测和优化,提高检测准确率。

时刻关注业界紧急CVE爆发漏洞情况,自动扫描,快速了解资产安全风险。

快速排查用户软件包/固件中的开源软件、安全配置等风险。

报告全面

清晰简洁的扫描报告,多角度分析资产安全风险,多元化数据呈现,将安全数据智能分析和整合,使安全现状清晰明了。

二进制漏洞扫描的计费模式

二进制成分分析按需计费,可享受专业版规格(¥3000.00/次):

1、支持手工上传软件包分析

2、支持开源软件漏洞、license合规检查、信息泄露检测等所有基础检查能力

3、支持导出专业扫描报告

4、如果您扫描次数较为频繁,我们建议您购买包年专业版服务(¥30,000.00/年,20次/年)

二进制漏洞扫描工具常见问题

  • 二进制成分分析的扫描对象是什么?

    ▶二进制成分分析的漏洞扫描对象为产品编译后的二进制软件包或固件:Linux安装包、Windows安装包、Web部署包、安卓应用、鸿蒙应用、IOS应用、嵌入式固件等;不支持扫描源码类文件。

  • 二进制成分分析的主要漏洞扫描规格有哪些?

    ▶二进制漏洞扫描支持的编程语言类型:C/C++/Java/Go/JavaScript/Python。

    二进制漏洞扫描支持的文件:.7z、.arj、.cpio、.phar、.rar、.tar、.xar、.zip、.jar、.apk、.war等格式文件,及Android OTA Images、Android sparse、Intel HEX、RockChip、U-Boot等固件。

    二进制漏洞扫描支持上传的文件大小:不超过5GB。

    二进制漏洞扫描平均扫描时间预估:根据不同的压缩格式或者文件类型扫描时长会有一定的差异,平均100MB/6min。

    二进制漏洞扫描服务采用基于软件版本的方式检测漏洞,不支持补丁修复漏洞场景的检测。

  • 二进制成分分析的漏洞扫描原理是什么,主要识别哪些风险?

    对用户提供的软件包/固件进行全面分析,通过解压获取包中所有待分析文件,基于组件特征识别技术以及各种风险检测规则,获得相关被测对象的组件BOM清单和潜在风险清单。主要包括以下几类:

    -开源软件风险:检测包中的开源软件风险,如已知漏洞、License合规等。

    -安全配置风险:检测包中配置类风险,如硬编码凭证、敏感文件(如密钥、证书、调试工具等)问题、OS认证和访问控制类问题等。

    -信息泄露风险:检测包中信息泄露风险,如IP泄露、硬编码密钥、弱口令、 GIT/SVN仓泄露等风险。图1 风险项


  • 二进制成分分析的开源软件风险如何分析?

    二进制成分分析漏洞扫描基于静态风险检测,会对用户上传的软件包/固件进行解压并分析其中的文件,识别包中文件包含的开源软件清单,并分析是否存在已知漏洞、License合规等风险。用户扫描完成后,建议按照以下步骤进行分析排查:

    1. 开源软件分析,分析开源软件是否存在以及软件版本是否准确。
    2. 基于报告详情页面或导出的报告中开源软件所在文件全路径找到对应文件,然后分析该文件中开源软件是否存在或准确(可由相关文件的开发或提供人员协助分析),如果否,则无需后续分析。
    3. 已知漏洞扫描分析,分析已知漏洞是否准确。
    4. 通过NVD、CVE、CNVD等社区搜索相关CVE已知漏洞编号,获取漏洞扫描详情
    5. 概要分析:查看影响的软件范围,如CVE-2021-3711在NVD社区中的Known Affected Software Configurations,如下图,确认漏洞是否影响当前使用的软件版本,如果当前使用的软件版本不在影响范围内,则初步说明漏洞可能不涉及/影响。
    6. 精细化分析:漏洞通常存在于某些函数中,可以通过社区中的漏洞修复补丁确认漏洞详情、涉及函数以及修复方式,如下图,用户可以结合自身软件对于相关开源软件功能的使用是否涉及相关漏洞
    7. License合规分析。基于报告中开源软件及对应的License分析软件是否合规,满足公司或准入要求。
    8. 风险解决方式:
    9. 已知漏洞:如果当前使用的软件版本存在漏洞,可通过升级软件版本至社区推荐版本解决。紧急情况下也可以通过社区推荐的patch修复方式临时解决。
    10. License合规:如果使用的软件存在合规风险,则需要寻找相似功能且合规的开源软件进行替代。


  • 二进制成分分析漏洞扫描的安全配置类问题如何分析?

    1.二进制成分分析漏洞扫描会检测用户包中一些安全配置项是否合规,主要如下:

    -用户上传的软件包/固件中存在的敏感文件,如(密钥文件,证书文件,源码文件, 调试工具等)。

    -用户上传的软件包/固件中操作系统中的用户与组配置、硬编码凭证、认证和访问控制等配置类问题。若不存在操作系统,则不涉及。

    2.二进制安全配置类检查问题分析指导:

    导出PDF报告,搜索【安全配置检查概览】关键字,可以看到各检查项的结果,pass表示通过,failed表示未通过,NA表示不涉及(若无操作系统,则针对操作系统配置检查项为不涉及)。搜索【安全配置检查】关键字,可以查看具体每项的检查结果。

    检查结果说明:

    -审视项:检查的方式/方法。

    -问题:存在问题的文件列表,若无问题则显示暂无问题。

    -建议值:针对检查出的问题给出的修改建议。

    -描述:审视项描述。



  • 二进制成分分析漏洞扫描的信息泄露问题如何分析?

    二进制成分分析漏洞扫描基于静态风险检测,会对用户上传的软件包/固件进行解压并分析其中的文件,识别包中是否存在信息泄露类风险,如敏感IP、GIT/SVN仓、弱口令、硬编码密钥等风险。

    针对已识别的信息泄露类风险,可以通过查看导出报告中的告警详情,如PDF漏洞扫描报告,可以在结果概览中确认是否有信息泄露风险。如果有,则可以查看相应信息泄露明细,每个告警都会包含以下几个说明,针对工具扫描出的风险清单,用户可以基于自身实际使用情况判断是否有信息泄露风险,如存在,则采取不同措施屏蔽或修改即可。

    -问题类型:IP泄露/硬编码密码/Git地址泄露等。

    -文件路径:发现信息泄露的文件在包中的全路径。

    -上下文内容:发现风险的文本行内容,包含风险内容和上下文内容。

    -匹配内容:实际发现的风险内容。

    -匹配位置:在文件中x行,x位置发现的信息泄露风险。