常用web漏洞扫描工具

什么是漏洞扫描工具?

漏洞扫描服务(Vulnerability Scan Service,简称VSS)是针对网站、主机、移动应用、软件包/固件进行漏洞扫描的一种安全检测服务,目前提供通用漏洞检测、漏洞生命周期管理、自定义扫描多项服务。扫描成功后,提供扫描报告详情,用于查看漏洞明细、修复建议等信息。


漏洞扫描工具的功能有哪些?

多场景可用:全方位的OS连接,涵盖90%的中间件,支持标准Web业务弱密码检测、操作系统、数据库等弱口令检测。

支持深入扫描:通过配置验证信息,可连接到服务器进行OS检测,进行多维度的漏洞、配置检测。

多扫描方式可选:支持通过标准包或者自定义安装等多种方式识别服务器的中间件及其版本,全方位发现服务器的漏洞风险。

专业分析指导:提供全面、直观的风险汇总信息,并针对不同的扫描告警提供专业的解决方案和修复建议。

漏洞扫描工具的工作原理是什么?

漏洞扫描服务具有Web网站扫描和主机扫描两种扫描能力。

Web网站扫描

采用网页爬虫的方式全面深入的爬取网站url,基于多种不同能力的漏洞扫描插件,模拟用户真实浏览场景,逐个深度分析网站细节,帮助用户发现网站潜在的安全隐患。同时内置了丰富的无害化扫描规则,以及扫描速率动态调整能力,可有效避免用户网站业务受到影响。

主机扫描

经过用户授权(支持账密授权)访问用户主机,漏洞扫描服务能够自动发现并检测主机操作系统、中间件等版本漏洞信息和基线配置,实时同步官网更新的漏洞库匹配漏洞特征,帮助用户及时发现主机安全隐患。

移动应用安全

对用户提供的安卓、鸿蒙应用进行安全漏洞、隐私合规检测,基于静态分析技术,结合数据流静态污点跟踪,检测权限、组件、网络、等APP基础安全漏洞,并提供详细的漏洞信息及修复建议。

二进制成分分析

对用户提供的二进制软件包/固件进行全面分析,通过解压获取包中所有待分析文件,基于组件特征识别技术、静态检测技术以及各种风险检测规则,获得相关被测对象的组件BOM清单和潜在风险清单,并输出一份专业的分析报告。

如何使用web漏洞扫描工具

一、购买漏洞扫描服务

① 登录华为云控制台。在控制台页面中选择“安全> 漏洞扫描服务”。

② 单击“升级规格”,进入购买页面,选择计费模式、服务版本、购买时长和扫描包数量。

二、新增域名

① 在左侧导航树中,选择“资产列表”,在域名列表的左上角,单击“新增域名”。

② 域名信息配置,填写域名名称和“域名/IP地址”。

③ 按照界面提示完成域名认证,域名认证成功后,单击“完成认证”,完成网站设置。

三、创建扫描任务

① 域名认证成功后,在目标域名的“操作”列,单击“扫描”。

② 填写域名信息,设置开始扫描时间,选择扫描模式。

③ 扫描项设置。根据需要,打开需要扫描的检测项。

四、查看扫描结果

① 在目标域名所在行的“上一次扫描结果”列,单击分数,进入扫描结果界面。

② 单击“下载报告”,查看详细的检测报告。

③ 分别查看扫描项总览、漏洞列表、内容风险列表、端口列表、站点结构。

常用web漏洞扫描工具适用的应用场景

  • Web漏洞扫描应用场景

    网站的漏洞与弱点易于被黑客利用,形成攻击,带来不良影响,造成经济损失。

    常规漏洞扫描

    丰富的漏洞规则库,可针对各种类型的网站进行全面深入的漏洞扫描,提供专业全面的扫描报告。

    最新紧急漏洞扫描

    针对最新紧急爆发的CVE漏洞,安全专家第一时间分析漏洞、更新规则,提供快速专业的CVE漏洞扫描。

    网站的漏洞与弱点易于被黑客利用,形成攻击,带来不良影响,造成经济损失。

    常规漏洞扫描

    丰富的漏洞规则库,可针对各种类型的网站进行全面深入的漏洞扫描,提供专业全面的扫描报告。

    最新紧急漏洞扫描

    针对最新紧急爆发的CVE漏洞,安全专家第一时间分析漏洞、更新规则,提供快速专业的CVE漏洞扫描。

  • 主机漏洞扫描应用场景

    运行重要业务的主机可能存在漏洞、配置不合规等安全风险。

    支持深入扫描

    通过配置验证信息,可连接到服务器进行OS检测,进行多维度的漏洞、配置检测。

    支持内网扫描

    可以通过跳板机方式访问业务所在的服务器,适配不同企业网络管理场景。

    运行重要业务的主机可能存在漏洞、配置不合规等安全风险。

    支持深入扫描

    通过配置验证信息,可连接到服务器进行OS检测,进行多维度的漏洞、配置检测。

    支持内网扫描

    可以通过跳板机方式访问业务所在的服务器,适配不同企业网络管理场景。

  • 弱密码扫描应用场景

    主机或中间件等资产一般使用密码进行远程登录,攻击者通常使用扫描技术来探测其用户名和弱口令。

    多场景可用

    全方位的OS连接,涵盖90%的中间件,支持标准Web业务弱密码检测、操作系统、数据库等弱口令检测。

    丰富的弱密码库

    丰富的弱密码匹配库,模拟黑客对各场景进行弱口令探测。

    主机或中间件等资产一般使用密码进行远程登录,攻击者通常使用扫描技术来探测其用户名和弱口令。

    多场景可用

    全方位的OS连接,涵盖90%的中间件,支持标准Web业务弱密码检测、操作系统、数据库等弱口令检测。

    丰富的弱密码库

    丰富的弱密码匹配库,模拟黑客对各场景进行弱口令探测。

  • 中间件扫描应用场景

    中间件可帮助用户灵活地开发和集成复杂的应用软件,一旦被黑客发现漏洞并利用,将影响上下层安全。

    丰富的扫描场景

    支持主流Web容器、前台开发框架、后台微服务技术栈的版本漏洞和配置合规扫描。

    多扫描方式可选

    支持通过标准包或者自定义安装等多种方式识别服务器的中间件及其版本,全方位发现服务器的漏洞风险。

    中间件可帮助用户灵活地开发和集成复杂的应用软件,一旦被黑客发现漏洞并利用,将影响上下层安全。

    丰富的扫描场景

    支持主流Web容器、前台开发框架、后台微服务技术栈的版本漏洞和配置合规扫描。

    多扫描方式可选

    支持通过标准包或者自定义安装等多种方式识别服务器的中间件及其版本,全方位发现服务器的漏洞风险。

  • 内容合规检测应用场景

    当网站被发现有不合规言论时,会给企业造成品牌和经济上的多重损失。

    精准识别

    同步更新时政热点和舆情事件的样本数据,准确定位各种涉黄、涉暴涉恐、涉政等敏感内容。

    智能高效

    对文本、图片内容进行上下文语义分析,智能识别复杂变种文本。

    当网站被发现有不合规言论时,会给企业造成品牌和经济上的多重损失。

    精准识别

    同步更新时政热点和舆情事件的样本数据,准确定位各种涉黄、涉暴涉恐、涉政等敏感内容。

    智能高效

    对文本、图片内容进行上下文语义分析,智能识别复杂变种文本。

  • 移动应用安全应用场景

    企业自检或通报后自查

    适用于各类APP发版自检,及通报整改后自查,服务提供详细精确的报告协助企业快速定位修复问题,达到监管合规要求。

    审核机构APP合规审查

    紧贴各类监管规范,提供高效的自动化检测服务,能快速识别存在违规行为的APP。

    企业自检或通报后自查

    适用于各类APP发版自检,及通报整改后自查,服务提供详细精确的报告协助企业快速定位修复问题,达到监管合规要求。

    审核机构APP合规审查

    紧贴各类监管规范,提供高效的自动化检测服务,能快速识别存在违规行为的APP。

常用web漏洞扫描工具常见问题解答

常用web漏洞扫描工具常见问题解答

  • 漏洞扫描工具可以免费使用吗?

    漏洞扫描工具提供了基础版、专业版、高级版和企业版四种服务版本。其中,基础版配额内的服务免费,部分功能按需计费;专业版、高级版和企业版需要收费。

    基础版配额内提供的网站漏洞扫描服务(域名个数:5个,扫描次数:每日5次)是免费的。

    有关VSS收费的详细介绍,请参见漏洞扫描服务如何收费?。

  • 漏洞扫描工具到期后还能继续使用吗?

    漏洞扫描工具到期后,可以继续使用基础版的所有功能。

  • 漏洞扫描工具的扫描IP有哪些?

    如果您的网站设置了防火墙或其他安全策略,将导致VSS的扫描IP被当成恶意攻击者而误拦截。因此,在使用VSS前,请您将以下VSS的扫描IP添加至网站访问的白名单中:

    119.3.232.114,119.3.237.223,124.70.102.147,121.36.13.144,124.70.109.117,139.9.114.20,119.3.176.1

  • 漏洞扫描服务能修复扫描出来的漏洞吗?

    不能。漏洞扫描服务是一款漏洞扫描工具,能为您发现您的资产存在的漏洞,不能进行资产漏洞修复,但漏洞扫描服务会为您提供详细的扫描结果以及修复建议,请您自行选择修复方法进行修复。

  • 漏洞扫描工具可以跨区域使用吗?

    漏洞扫描服务是全局服务,不区分区域(Region),因此可以跨区域使用。

  • 漏洞扫描服务和传统的漏洞扫描器有什么区别?

    使用方法:

    传统的漏洞扫描器,使用前需要安装客户端。

    VSS,不需要安装客户端,在管理控制台创建任务(输入域名或IP地址)就可以进行漏洞扫描,节约运维成本。

    更新漏洞库方式:

    传统的漏洞扫描器,手动更新漏洞库,更新不及时。

    VSS,云端同步更新漏洞库,涵盖最新漏洞,可以及时检测用户的网站是否有最新爆发的漏洞威胁。

  • 使用web漏洞扫描工具扫描网站漏洞一次需要多久?

    网站漏洞扫描的时长,跟多种因素相关,包括网站规模(即自动爬取的页面数)、网站响应速度、页面复杂度、网络环境等,通常扫描时长为小时级别,最长不超过24小时。

    测试环境下,200个页面的网站完成一次全量扫描耗时约1个小时,这里仅供参考,请以实际扫描时间为准。

    另外扫描的过程中会向网站发送一定数量的检测请求,可能会导致网站的负载小幅度增大。

  • 为什么任务扫描中途就自动取消了?

    如果一个任务扫描到一半被系统自动取消了,可能有以下两个原因:

    1、没有配置“网站登录设置”信息。

    用户没有配置“网站登录设置”信息,VSS无法进行深入的访问,任务就会自动取消。 建议设置“网站登录设置”信息后,重新扫描。

    2、扫描过程中,出现了网络问题。

    网络异常,VSS将无法访问网站,任务就会自动取消。建议网络正常后,重新扫描。

  • 网站扫描是否可以加/web访问?

    可以。创建扫描任务页面,填写目标网址时可以加上网页路径。

    例如:目标网址是“https://www.example.com”,扫描的网址加上具体的网页路径后“https://www.example.com/login.php”。

  • 漏洞扫描服务可以扫描域名下的项目吗?

    VSS采用网页爬虫的方式全面深入的爬取网站url,然后针对爬取出来的页面模拟黑客进行试探攻击,帮助您发现网站潜在的安全隐患。如果域名下的项目没有被VSS爬取出来,则该项目不会被VSS扫描到。您可以通过网站扫描详情,查看域名下的项目是否被VSS扫描到。

    有关查看网站扫描详情的操作,请参见查看网站扫描详情

常用web漏洞扫描工具实用文档下载

活动规则

活动对象:华为云电销客户及渠道伙伴客户可参与消费满送活动,其他客户参与前请咨询客户经理

活动时间: 2020年8月12日-2020年9月11日

活动期间,华为云用户通过活动页面购买云服务,或使用上云礼包优惠券在华为云官网新购云服务,累计新购实付付费金额达到一定额度,可兑换相应的实物礼品。活动优惠券可在本活动页面中“上云礼包”等方式获取,在华为云官网直接购买(未使用年中云钜惠活动优惠券)或参与其他活动的订单付费金额不计入统计范围内;

更多常用web漏洞扫描工具相关推荐

  • 网站漏洞安全检测教程

    本文为您介绍华为云网站漏洞安全检测教程,漏洞扫描服务是针对网站进行漏洞扫描的一种安全检测服务,目前提供通用漏洞检测、漏洞生命周期管理、自定义扫描多项服务。

    本文为您介绍华为云网站漏洞安全检测教程,漏洞扫描服务是针对网站进行漏洞扫描的一种安全检测服务,目前提供通用漏洞检测、漏洞生命周期管理、自定义扫描多项服务。

  • 哪些应用场景需要做漏洞扫描

    华为云网页漏洞扫描工具专题为用户提供网页漏洞扫描工具有哪些、华为云漏洞扫描服务的优势、哪些应用场景需要做漏洞扫描、web漏洞扫描、如何检测网站漏洞、漏洞扫描工具检测的常见问题以及漏洞扫描服务操作指导视频等相关内容。

    华为云网页漏洞扫描工具专题为用户提供网页漏洞扫描工具有哪些、华为云漏洞扫描服务的优势、哪些应用场景需要做漏洞扫描、web漏洞扫描、如何检测网站漏洞、漏洞扫描工具检测的常见问题以及漏洞扫描服务操作指导视频等相关内容。

  • 什么是安全漏洞扫描

    华为云安全漏洞扫描是针对网站、主机、移动应用、软件包/固件进行的一种安全检测服务,目前提供通用漏洞检测、漏洞生命周期管理、自定义扫描多项服务。扫描成功后,提供扫描报告详情,用于查看漏洞明细、修复建议等信息。

    华为云安全漏洞扫描是针对网站、主机、移动应用、软件包/固件进行的一种安全检测服务,目前提供通用漏洞检测、漏洞生命周期管理、自定义扫描多项服务。扫描成功后,提供扫描报告详情,用于查看漏洞明细、修复建议等信息。

爆款云产品限时领取免费体验,每位新用户仅限一次

立即体验