该任务指导用户首次使用漏洞管理服务（Web漏洞扫描）时，如何购买漏洞管理服务（Web漏洞扫描）的专业版扫描功能。

须知：

-仅支持从专业版升级至高级版，当您是专业版用户时，如果需要将专业版扫描配额包中的二级域名配额升级为一级域名配额，可以直接将专业版升级到高级版。

-不支持多个版本同时存在。如果是老客户，已购买的版本下存在基础版和专业版，基础版全部免费升级为专业版，版本到期时间以订单到期时间最长的为准。

-不支持从专业版或高级版直接升级至企业版，当您是专业版或高级版用户时，如果需要使用企业版，请直接购买企业版。为保证您的权益，请您购买企业版后，提工单退订专业版或高级版。

-购买漏洞扫描服务或配额后，不支持直接修改配额，仅支持升级规格，请谨慎操作。如需减少配额请参考如何减少漏洞管理服务配额？

已获取管理控制台的登录帐号（拥有VSS Administrator与BSS Administrator权限）与密码。

1.登录管理控制台。

2.在页面上方选择区域或项目后，单击，选择“安全与合规 > 漏洞扫描服务”，进入漏洞扫描服务管理界面。

说明：

-首次使用漏洞管理服务，您可以在页面左侧，单击“立即购买”，进入漏洞管理服务购买页面。

-如果您已经体验了基础版，请在页面的右上角，单击“升级规格”，进入漏洞管理服务购买页面。

3.在购买漏洞扫描服务界面，进行服务选型配置。

-“计费模式”选择“包年/包月”参数配置完成后，请执行4。

说明：

-使用基础版的用户，可以继续使用基础版的功能，每个用户可添加的域名个数不超过5个。

-当用户在使用中需要增加专业版/高级版/企业版域名扫描配额，购买的数量不能小于已购买的数量，到期时间不变。

-开通漏洞管理服务后，您首先需要将网站资产以IP或域名的形式添加到漏洞扫描服务中并完成域名认证，才能进行漏洞扫描。

-如果您的网站中存在需要登录才能访问的网页，还需要配置网站登录信息（支持“Web页面登录”、“Cookie登录”和“Header登录”三种登录方式），漏洞管理服务才能为您更好的检测网站安全问题。

说明：

如果您在添加网站时，提示“当前套餐可新增域名已达到上限”，无法添加网站时，可参照以下方法进行处理：

-参照域名配额扩容进行域名配额扩容，购买“扫描配额包”，“扫描配额包”必须大于当前版本已有的配额。

-如果您的资产列表有不需要防护的网站，建议删除后再添加新的网站。

1.已获取管理控制台的登录帐号与密码

2.登录管理控制台。

3.在左侧导航树中，选择“安全与合规 > 漏洞扫描服务”，进入漏洞扫描服务页面。

4.在“资产列表 > 网站”页签，单击“新建网站”，进入“新建网站 > 填写网站信息” 页面。

5.单击左上角“添加”，如图1所示，配置网站信息。

须知：

漏洞管理服务是通过公网访问域名/IP地址进行扫描的，请确保该目标域名/IP地址能通过公网正常访问。

图1 添加网站

网站地址格式为：http://域名或IP地址、https://域名或IP地址。

说明：

您也可以选择“批量导入网站”，同时增加多个网站信息。

6.单击“下一步”，进入“配置所有权认证”页面。

说明：

如果待检测站点的服务器搭建在华为云上，且该服务器是您当前登录帐号的资产，才可以选择“一键认证”的方式进行快速认证，否则只能选择“免认证”的方式进行认证。

免认证，仔细阅读图1免认证方式中的“使用须知”，确认符合条件后，勾选“我已阅读并了解上述使用要求”，进行网站认证。

图3 免认证方式

一键认证，如图4所示。

图4 一键认证方式

须知：

如果您选择“一键认证”方式进行域名认证，请确保待检测站点的服务器搭建在华为云的以下区域，且该服务器是您当前登录帐号的资产：

-华北-北京一

-华北-北京四

-华东-上海一

-华东-上海二

-华南-广州

-华南-深圳

-东北-大连

-西南-贵阳一

7.单击“下一步”，进入“配置网站登录信息”页面。

如果网站中存在需要登录才能访问的网页，进行登录设置后，漏洞管理服务能够为您更好的检测网站安全问题。如果此处未配置网站登录信息，则网站添加成功后，可参考网站登录设置进行网站信息的配置。

8.阅读《华为云漏洞管理服务声明》后，勾选“我已阅读并同意《华为云漏洞管理服务声明》”。

9.单击“确定”，添加网站成功。

该任务指导用户通过漏洞管理服务创建扫描任务。

-已获取管理控制台的登录帐号与密码。

-已添加网站。

-如果您的网站设置了防火墙或其他安全策略，将导致漏洞管理服务的扫描IP被当成恶意攻击者而误拦截。因此，在使用漏洞管理服务前，请您将以下VSS的扫描IP添加至网站访问的白名单中：

119.3.232.114，119.3.237.223，124.70.102.147，121.36.13.144，124.70.109.117，139.9.114.20，119.3.176.1

1.登录管理控制台。

2.在左侧导航树中，选择“安全与合规 > 漏洞管理服务”，进入漏洞管理服务页面。

3. 在“资产列表 > 网站”页签，单击对应的网站信息“操作”列的“扫描”，页面右侧 弹出“创建任务”窗口。

4.配置扫描信息。

参数说明请参见创建扫描任务。

说明：

-如果您当前的服务版本已经为专业版，不会提示升级。

-基础版支持常见漏洞检测、端口扫描。

-专业版支持常见漏洞检测、端口扫描、弱密码扫描。

-高级版支持常见漏洞检测、端口扫描、弱密码扫描。

-企业版支持常见网站漏洞扫描、基线合规检测、弱密码、端口检测、紧急漏洞扫描、周期性检测。

5.设置完成后，单击“开始扫描”。

创建扫描任务后，会先进入“排队中”状态，满足运行条件后任务状态变为“进行 中”。

扫描任务完成，您可以查看网站详情并下载网站扫描报告，详细操作请参见查看网站扫描详情、下载网站扫描报告。

该任务指导用户通过漏洞扫描服务查看网站扫描结果，可以查看扫描项总览、业务风险列表、漏洞列表、端口列表、站点结构。

-已获取管理控制台的登录帐号与密码。

-已添加网站。

-已执行扫描任务。

1.登录管理控制台。

2.在左侧导航树中，选择“安全与合规 > 漏洞扫描服务”，进入漏洞扫描服务页面。

3.在“资产列表 > 网站”页签，进入网站列表入口。

4.在目标域名所在行的“上一次扫描结果”列，单击分数或者“查看详情”，查看扫描任务详情，如图2所示。

说明：

-扫描任务详情界面默认显示最近一次的扫描情况，如果您需要查看其他时间的扫描情况，在“历史扫描报告”下拉框中，选择扫描时间点。

-单击“重新扫描”，可以重新执行扫描任务。

-如果需要修改扫描任务名称或者检测项，单击“编辑”，完成相关配置。

-当扫描任务成功完成后，单击右上角的“生成报告”，生成网站扫描报告后，单击右上角的，可以下载任务报告，目前只支持PDF格式。

图2 查看扫描任务详情

5.选择“扫描项总览”页签，查看扫描项的检测结果，如图3所示。

图3 扫描项总览

说明：

如果检测结果存在漏洞或者风险，可在“检测结果”列，单击“查看详情”了解漏洞或者风险的详细情况。

6.选择“漏洞列表”页签，查看漏洞信息，如图4所示。

图4 漏洞列表

说明：

-单击“查看更多”，可以查看详细的漏洞分析。

-单击漏洞名称可以查看相应漏洞的“漏洞详情”、“漏洞简介”、“修复建议”。

-如果您确认扫描出的漏洞不会对网站造成危害，请在目标漏洞所在行的“操作”列，单击“忽略”，忽略该漏洞，后续执行扫描任务会扫描出该漏洞，但扫描结果将不会统计忽略的漏洞。例如，如果您对2个低危漏洞执行了“忽略”操作，则再次执行扫描任务，扫描结果显示的低危漏洞个数将减少2。

-如果想对已忽略的漏洞恢复为风险类型，在目标漏洞所在行的“操作”列，单击“取消忽略”，恢复检测此漏洞。

7.选择“业务风险列表”页签，查看业务风险信息。

8.选择“端口列表”页签，查看目标网站的端口信息，如图6所示。

图6 端口列表

9.选择“站点结构”页签，查看目标网站的站点结构信息，如图7所示。

说明：

站点结构显示的是目标任务的漏洞的具体站点位置，如果任务暂未扫描出漏洞，站点结构无数据显示。

显示目标网站的基本信息，包括：

-IP地址：目标网站的IP地址。

-服务器：目标网站部署所使用的服务器名称（例如：Tomcat 、Apache httpd、 IIS等）。

-语言：目标网站所使用的开发语言（例如：PHP、JAVA、C#等）。

图7 站点结构

后续处理

当您修复网站漏洞后，在扫描详情界面右侧单击“重新扫描”，重新扫描网站后，请在网站扫描详情界面查看该漏洞是否已修复。

当网站扫描任务成功完成后，您可以下载任务报告，报告目前只支持PDF格式。

已成功完成网站扫描任务，即目标网站的“扫描状态”为“已完成”。

1.登录管理控制台。

2.在左侧导航树中，单击，选择“安全与合规 > 漏洞扫描服务”，进入漏洞扫描服务页面。

3.在“资产列表 > 网站”页签，进入网站列表页面。

4.在目标网站所在行的“安全等级”列，单击“查看报告”，进入扫描任务详情页面。

5.单击右上角的，生成网站扫描报告，如图2所示

说明：

生成的扫描报告会在24小时后过期。过期后，若需要下载扫描报告，请再次单击“生成报告”，重新生成扫描报告。

6.扫描报告生成完成后，单击右上角，将网站扫描报告下载到本地，如图3所示。

网站漏洞扫描报告模板说明

下载扫描报告后，您可以根据扫描结果，对漏洞进行修复。