网站漏洞扫描开操作指引

您可以在华为云官网免费试用漏洞扫描工具体验网站漏洞扫描。漏洞扫描工具的操作指引如下:

1.漏洞管理服务提供了基础版、专业版、高级版和企业版四种服务版本。其中,基础版配额内的服务免费,部分功能按需计费;专业版、高级版和企业版需要收费。具体操作请参见购买漏洞管理服务

2.添加网站信息,具体操作请参见添加网站

3.帐号密码登录设置,具体操作请参考网站登录设置

4.创建扫描任务,对网站进行扫描,具体操作请参见创建扫描任务

5.扫描结束,查看网站扫描详情

6.下载网站扫描报告

7.删除网站

网站漏洞扫描的功能特性

网站漏洞扫描工具是漏洞管理服务能力之一,能帮助您快速检测出您的网站存在的漏洞,提供详细的漏洞分析报告,并针对不同类型的漏洞提供专业可靠的修复建议。

网站漏洞扫描能力

-具有OWASP TOP10和WASC的漏洞检测能力,支持扫描22种类型以上的漏洞。

-扫描规则云端自动更新,全网生效,及时涵盖最新爆发的漏洞。

-支持HTTPS扫描。

一站式漏洞管理

-支持任务完成后短信通知用户。如果您希望在扫描任务执行完成后收到短信通知,请购买专业版、高级版或者企业版。

-提供漏洞修复建议。如果您需要查看修复建议,请购买专业版、高级版或者企业版。

-支持下载扫描报告,用户可以离线查看漏洞信息,报告格式为PDF。如果您需要下载扫描报告,请购买专业版、高级版或者企业版。

-支持重新扫描。

支持端口扫描

-扫描服务器端口的开放状态,检测出容易被黑客发现的“入侵通道”。

自定义扫描

-支持任务定时扫描。

-支持基于用户名密码登录、基于自定义Cookie登录。

-支持Web 2.0高级爬虫扫描。

-支持自定义Header扫描。

-支持手动导入探索文件来进行被动扫描。

网站漏洞扫描的产品优势

扫描全面

涵盖多种类型资产扫描,支持云内外网站、主机漏洞、二进制成分分析和移动应用安全,智能关联各资产,自动发现资产指纹信息,避免扫描盲区。

简单易用

配置简单,一键全网扫描。可自定义扫描事件,分类管理资产安全,让运维工作更简单,风险状况更清晰了然。

高效精准

采用Web2.0智能爬虫技术,内部验证机制不断自测和优化,提高检测准确率。

时刻关注业界紧急CVE爆发漏洞情况,自动扫描,快速了解资产安全风险。

快速排查用户软件包/固件中的开源软件、安全配置等风险。

报告全面

清晰简洁的扫描报告,多角度分析资产安全风险,多元化数据呈现,将安全数据智能分析和整合,使安全现状清晰明了。

网站漏洞扫描的计费模式

漏洞管理服务(网站漏洞扫描)提供了基础版、专业版、高级版和企业版四种服务版本。其中,基础版配额内的服务免费,部分功能按需计费;专业版、高级版和企业版需要收费。

基础版

1.基础版配额内仅支持Web网站漏洞扫描(域名个数:5个,扫描次数:5个域名每日总共可以扫描5次)是免费的。

2.基础版提供的以下功能按需计费:

-可以将Web漏洞扫描或主机漏洞扫描任务升级为专业版规格进行 扫描完成后进行一次性扣费。

-主机扫描一次最多支持20台主机。

专业版、高级版和企业版

相对于按需付费,包年/包月购买方式能够提供更大的折扣,对于长期使用者,推荐该方式。包周期计费为按照订单的购买周期来进行结算。

网站漏洞扫描工具常见问题

  • 网站漏洞扫描一次需要多久?

    ▶网站漏洞扫描的时长,跟多种因素相关,包括网站规模(即自动爬取的页面数)、网站响应速度、页面复杂度、网络环境等,通常扫描时长为小时级别,最长不超过24小时。

    测试环境下,200个页面的网站完成一次全量扫描耗时约1个小时,这里仅供参考,请以实际扫描时间为准。

    另外扫描的过程中会向网站发送一定数量的检测请求,可能会导致网站的负载小幅度增大。

  • 如何快速发现网站漏洞?

    ▶漏洞扫描的原理是,通过爬虫获取用户网站的URL列表,然后对列表中所有URL进行扫描。

    如果用户需要快速扫描,可以在创建扫描任务时,“扫描策略”选择“极速策略”,如图1所示。

    说明:扫描策略分为:极速策略、标准策略、深度策略。选择深度扫描可以更深层次的发现漏洞,建议您优先选择“深度扫描”。

    图1 设置扫描策略

  • 为什么任务扫描中途就自动取消了?

    如果一个任务扫描到一半被系统自动取消了,可能有以下两个原因:

    1.没有配置“网站登录设置”信息。

    用户没有配置“网站登录设置”信息,漏洞管理服务无法进行深入的访问,任务就会自动取消。 建议设置“网站登录设置”信息后,重新扫描。

    2.扫描过程中,出现了网络问题。

    网络异常,漏洞管理服务将无法访问网站,任务就会自动取消。建议网络正常后,重新扫描。


  • 如何查看漏洞管理服务扫描出的网站结构?

    执行完漏洞扫描任务后,进入“总览”页面,在“最近扫描任务列表”中,单击目标扫描对象,进入任务详情页面,单击“站点结构”页签,查看网站结构。

    说明:站点结构展示的是任务扫描出的漏洞对应的网页地址及整体结构,如果任务暂未扫描出漏洞,站点结构无数据显示。

    图1 站点结构

  • 购买mysql云服务器资源提示售罄怎么办?

    每个区域有多个可用区,如果当前可用区资源售罄,建议您更换其他可用区购买。

  • 如果网站登录需要动态验证码可以使用VSS的自动登录功能吗?

    可以。只需要用户在网站登录设置页面配置网站的Cookie值,如何配置网站的Cookie值请参见为什么扫描任务自动登录失败了?

  • 网站扫描是否可以加/web访问?

    可以。创建扫描任务页面,填写目标网址时可以加上网页路径。

    例如:目标网址是“https://www.example.com”,扫描的网址加上具体的网页路径后“https://www.example.com/login.php”。