网站漏洞扫描工具

什么是漏洞扫描?

漏洞扫描服务(Vulnerability Scan Service,简称VSS)是针对网站、主机、移动应用、软件包/固件进行漏洞扫描的一种安全检测服务,目前提供通用漏洞检测、漏洞生命周期管理、自定义扫描多项服务。扫描成功后,提供扫描报告详情,用于查看漏洞明细、修复建议等信息。


漏洞扫描服务 VSS集Web漏洞扫描、操作系统漏洞扫描、资产及内容合规检测、安全配置基线检查、弱密码检测、开源合规及漏洞检查、移动应用安全检查七大核心功能为一体,自动发现网站或服务器在网络中的安全风险,为云上业务提供多维度的安全检测服务,满足合规要求,让安全弱点无所遁形。

展开详情

漏洞扫描检测服务的工作原理

漏洞扫描服务具有Web网站扫描和主机扫描两种扫描能力

  • Web网站漏洞检测扫描

    采用网页爬虫的方式全面深入的爬取网站url,基于多种不同能力的漏洞扫描插件,模拟用户真实浏览场景,逐个深度分析网站细节,帮助用户发现网站潜在的安全隐患。同时内置了丰富的无害化扫描规则,以及扫描速率动态调整能力,可有效避免用户网站业务受到影响。

    采用网页爬虫的方式全面深入的爬取网站url,基于多种不同能力的漏洞扫描插件,模拟用户真实浏览场景,逐个深度分析网站细节,帮助用户发现网站潜在的安全隐患。同时内置了丰富的无害化扫描规则,以及扫描速率动态调整能力,可有效避免用户网站业务受到影响。

  • 主机系统漏洞扫描

    经过用户授权(支持账密授权)访问用户主机,漏洞扫描服务能够自动发现并检测主机操作系统、中间件等版本漏洞信息和基线配置,实时同步官网更新的漏洞库匹配漏洞特征,帮助用户及时发现主机安全隐患。

    经过用户授权(支持账密授权)访问用户主机,漏洞扫描服务能够自动发现并检测主机操作系统、中间件等版本漏洞信息和基线配置,实时同步官网更新的漏洞库匹配漏洞特征,帮助用户及时发现主机安全隐患。

  • 移动应用安全

    对用户提供的安卓、鸿蒙应用进行安全漏洞、隐私合规检测,基于静态分析技术,结合数据流静态污点跟踪,检测权限、组件、网络、等APP基础安全漏洞,并提供详细的漏洞信息及修复建议。

    对用户提供的安卓、鸿蒙应用进行安全漏洞、隐私合规检测,基于静态分析技术,结合数据流静态污点跟踪,检测权限、组件、网络、等APP基础安全漏洞,并提供详细的漏洞信息及修复建议。

  • 二进制成分分析

    对用户提供的二进制软件包/固件进行全面分析,通过解压获取包中所有待分析文件,基于组件特征识别技术、静态检测技术以及各种风险检测规则,获得相关被测对象的组件BOM清单和潜在风险清单,并输出一份专业的分析报告。

    对用户提供的二进制软件包/固件进行全面分析,通过解压获取包中所有待分析文件,基于组件特征识别技术、静态检测技术以及各种风险检测规则,获得相关被测对象的组件BOM清单和潜在风险清单,并输出一份专业的分析报告。

漏洞扫描工具常见应用场景

  • Web漏洞扫描应用场景:

    网站的漏洞与弱点易于被黑客利用,形成攻击,带来不良影响,造成经济损失。

    · 常规漏洞扫描:丰富的漏洞规则库,可针对各种类型的网站进行全面深入的漏洞扫描,提供专业全面的扫描报告。

    · 最新紧急漏洞扫描:针对最新紧急爆发的CVE漏洞,安全专家第一时间分析漏洞、更新规则,提供快速专业的CVE漏洞扫描。

    网站的漏洞与弱点易于被黑客利用,形成攻击,带来不良影响,造成经济损失。

    · 常规漏洞扫描:丰富的漏洞规则库,可针对各种类型的网站进行全面深入的漏洞扫描,提供专业全面的扫描报告。

    · 最新紧急漏洞扫描:针对最新紧急爆发的CVE漏洞,安全专家第一时间分析漏洞、更新规则,提供快速专业的CVE漏洞扫描。

  • 主机漏洞扫描应用场景:

    运行重要业务的主机可能存在漏洞、配置不合规等安全风险。

    · 支持深入扫描:通过配置验证信息,可连接到服务器进行OS检测,进行多维度的漏洞、配置检测。。

    · 支持内网扫描:可以通过跳板机方式访问业务所在的服务器,适配不同企业网络管理场景。

    运行重要业务的主机可能存在漏洞、配置不合规等安全风险。

    · 支持深入扫描:通过配置验证信息,可连接到服务器进行OS检测,进行多维度的漏洞、配置检测。。

    · 支持内网扫描:可以通过跳板机方式访问业务所在的服务器,适配不同企业网络管理场景。

  • 弱密码扫描应用场景:

    主机或中间件等资产一般使用密码进行远程登录,攻击者通常使用扫描技术来探测其用户名和弱口令。

    · 多场景可用:全方位的OS连接,涵盖90%的中间件,支持标准Web业务弱密码检测、操作系统、数据库等弱口令检测。

    · 丰富的弱密码库:丰富的弱密码匹配库,模拟黑客对各场景进行弱口令探测。

    主机或中间件等资产一般使用密码进行远程登录,攻击者通常使用扫描技术来探测其用户名和弱口令。

    · 多场景可用:全方位的OS连接,涵盖90%的中间件,支持标准Web业务弱密码检测、操作系统、数据库等弱口令检测。

    · 丰富的弱密码库:丰富的弱密码匹配库,模拟黑客对各场景进行弱口令探测。

  • 中间件扫描应用场景:

    中间件可帮助用户灵活、高效地开发和集成复杂的应用软件,一旦被黑客发现漏洞并利用,将影响上下层安全。

    · 丰富的扫描场景:支持主流Web容器、前台开发框架、后台微服务技术栈的版本漏洞和配置合规扫描。

    · 多扫描方式可选:支持通过标准包或者自定义安装等多种方式识别服务器的中间件及其版本,全方位发现服务器的漏洞风险。

    中间件可帮助用户灵活、高效地开发和集成复杂的应用软件,一旦被黑客发现漏洞并利用,将影响上下层安全。

    · 丰富的扫描场景:支持主流Web容器、前台开发框架、后台微服务技术栈的版本漏洞和配置合规扫描。

    · 多扫描方式可选:支持通过标准包或者自定义安装等多种方式识别服务器的中间件及其版本,全方位发现服务器的漏洞风险。

  • 内容合规检测应用场景:

    当网站被发现有不合规言论时,会给企业造成品牌和经济上的多重损失。

    · 精准识别:同步更新时政热点和舆情事件的样本数据,准确定位各种涉黄、涉暴涉恐、涉政等敏感内容。

    · 智能高效:对文本、图片内容进行上下文语义分析,智能识别复杂变种文本。

    当网站被发现有不合规言论时,会给企业造成品牌和经济上的多重损失。

    · 精准识别:同步更新时政热点和舆情事件的样本数据,准确定位各种涉黄、涉暴涉恐、涉政等敏感内容。

    · 智能高效:对文本、图片内容进行上下文语义分析,智能识别复杂变种文本。

  • 二进制成分分析应用场景:

    产品包或固件中因不当使用开源软件、配置不合规等会产生漏洞或合规性风险,及时的发现和修复相关问题可以减少被攻击者利用的风险。

    · 全方位风险检测:对产品包/固件进行全面分析,基于各类检测规则,获得相关被测对象的开源软件、信息泄露、安全配置等存在的潜在风险。。

    · 支持各类应用:支持对桌面应用(Windows和Linux)、移动应用程序(APK、IPA、Hap等)、嵌入式系统固件等的检测。

    产品包或固件中因不当使用开源软件、配置不合规等会产生漏洞或合规性风险,及时的发现和修复相关问题可以减少被攻击者利用的风险。

    · 全方位风险检测:对产品包/固件进行全面分析,基于各类检测规则,获得相关被测对象的开源软件、信息泄露、安全配置等存在的潜在风险。。

    · 支持各类应用:支持对桌面应用(Windows和Linux)、移动应用程序(APK、IPA、Hap等)、嵌入式系统固件等的检测。

  • 移动应用安全:

    · 企业自检或通报后自查:适用于各类APP发版自检,及通报整改后自查,服务提供详细精确的报告协助企业快速定位修复问题,达到监管合规要求。

    · 审核机构APP合规审查:紧贴各类监管规范,提供高效的自动化检测服务,能快速识别存在违规行为的APP。

    · 企业自检或通报后自查:适用于各类APP发版自检,及通报整改后自查,服务提供详细精确的报告协助企业快速定位修复问题,达到监管合规要求。

    · 审核机构APP合规审查:紧贴各类监管规范,提供高效的自动化检测服务,能快速识别存在违规行为的APP。

漏洞扫描工具快速入门指导

  • 收起 展开
    购买漏洞扫描服务 收起 展开

    步骤:

    ① 登录华为云控制台。在控制台页面中选择“安全> 漏洞扫描服务”。

    ② 单击“升级规格”,进入购买页面,选择计费模式、服务版本、购买时长和扫描包数量。

    说明:

    漏洞扫描服务提供基础版、专业版、高级版和企业版扫描服务,基础版可免费使用,但是功能和规格受限,专业版、高级版和企业版需付费,具体功能和规格对比参见版本功能规格说明了解详情。

    了解详细步骤
  • 收起 展开
    新增域名 收起 展开

    步骤:

    ① 在左侧导航树中,选择“资产列表”,在域名列表的左上角,单击“新增域名”。

    ② 域名信息配置,填写域名名称和“域名/IP地址”。

    ③ 按照界面提示完成域名认证,域名认证成功后,单击“完成认证”,完成网站设置。

    说明:

    ① 可添加的域名个数,由您购买的域名配额数决定,若域名配额数不够,可域名配额扩容

    ② 如果待检测站点的服务器搭建在华为云上,且该服务器是您当前登录账号的资产,您可以选择“一键认证”按钮进行快速认证。

    了解详细步骤
  • 收起 展开
    创建扫描任务 收起 展开

    步骤:

    ① 域名认证成功后,在目标域名的“操作”列,单击“扫描”。

    ② 填写域名信息,设置开始扫描时间,选择扫描模式。

    ③ 扫描项设置。根据需要,打开需要扫描的检测项。

    说明:

    如果您目前为基础版,只是需要享受单次专业版扫描服务,请打开“是否将本次扫描升级为专业版规格”开关。

    了解详细步骤
  • 收起 展开
    查看扫描结果 收起 展开

    步骤:

    ① 在目标域名所在行的“上一次扫描结果”列,单击分数,进入扫描结果界面。

    ② 单击“下载报告”,查看详细的检测报告。

    ③ 分别查看扫描项总览、漏洞列表、内容风险列表、端口列表、站点结构。

    说明:

    基础版不支持下载报告功能,为了更好的防护您的资产,建议您购买专业版或者企业版漏洞扫描服务。

    了解详细步骤

漏洞扫描工具常见问题

漏洞扫描工具常见问题

活动规则

活动对象:华为云电销客户及渠道伙伴客户可参与消费满送活动,其他客户参与前请咨询客户经理

活动时间: 2020年8月12日-2020年9月11日

活动期间,华为云用户通过活动页面购买云服务,或使用上云礼包优惠券在华为云官网新购云服务,累计新购实付付费金额达到一定额度,可兑换相应的实物礼品。活动优惠券可在本活动页面中“上云礼包”等方式获取,在华为云官网直接购买(未使用年中云钜惠活动优惠券)或参与其他活动的订单付费金额不计入统计范围内;

  • 漏洞扫描服务可以免费使用吗?

    漏洞扫描服务提供了基础版、专业版、高级版和企业版四种服务版本。其中,基础版配额内的服务免费,部分功能按需计费;专业版、高级版和企业版需要收费。

    基础版配额内提供的网站漏洞扫描服务(域名个数:5个,扫描次数:每日5次)是免费的。

    有关VSS收费的详细介绍,请参见漏洞扫描服务如何收费

  • 漏洞扫描服务的扫描IP有哪些?

    如果您的网站设置了防火墙或其他安全策略,将导致VSS的扫描IP被当成恶意攻击者而误拦截。因此,在使用VSS前,请您将以下VSS的扫描IP添加至网站访问的白名单中:

    119.3.232.114,119.3.237.223,124.70.102.147,121.36.13.144,124.70.109.117,139.9.114.20,119.3.176.1

  • 漏洞扫描服务能修复扫描出来的漏洞吗?

    不能。漏洞扫描服务是一款漏洞扫描工具,能为您发现您的资产存在的漏洞,不能进行资产漏洞修复,但漏洞扫描服务会为您提供详细的扫描结果以及修复建议,请您自行选择修复方法进行修复。

  • 漏洞扫描服务支持扫描哪些漏洞?

    漏洞扫描服务支持扫描的漏洞有:

    1、弱口令检测

    1. SSH、FTP、RDP、SMB、MYSQL、MSSQL、MongoDB、Redis、Oracle、DB2、GaussDB、Postgres、Telnet。

    2、前端漏洞

    1. SQL注入、XSS、CSRF、URL跳转等。

    3、信息泄露

    1. 端口暴露,目录遍历,备份文件,不安全文件,不安全HTTP方法,不安全端口。

    4、Web注入漏洞

    1. 命令注入,代码注入,XPATH注入,SSRF注入,反序列化等注入漏洞。

    5、文件包含漏洞

    1. 任意文件读取、任意文件包含、任意文件上传、XXE。
  • 漏洞扫描服务可以对网站文字和图片改变进行检测吗?

    VSS支持对网页的内容合规进行检测,不支持对网站文字和图片改变进行检测。

  • 使用漏洞扫描服务前需要备份数据吗?

    不需要。漏洞扫描服务是无侵入式的服务,不需要备份数据。

  • 网站漏洞扫描一次需要多久?

    网站漏洞扫描的时长,跟多种因素相关,包括网站规模(即自动爬取的页面数)、网站响应速度、页面复杂度、网络环境等,通常扫描时长为小时级别,最长不超过24小时。

    测试环境下,200个页面的网站完成一次全量扫描耗时约1个小时,这里仅供参考,请以实际扫描时间为准。

    另外扫描的过程中会向网站发送一定数量的检测请求,可能会导致网站的负载小幅度增大。

  • 网站扫描是否可以加/web访问?

    可以。创建扫描任务页面,填写目标网址时可以加上网页路径。

    例如:目标网址是“https://www.example.com”,扫描的网址加上具体的网页路径后“https://www.example.com/login.php”。

  • 如何修复扫描出来的主机漏洞?

    不同的主机系统修复漏洞的方法有所不同,软件漏洞的修复需要具有一定专业知识的人员进行操作,根据服务器的情况进行漏洞修复,可参考漏洞扫描服务给出的修复建议,修复漏洞时应按照如下的操作步骤进行修复。

    1、对需要修复的服务器实例进行备份,防止出现不可预料的后果。

    2、对需要修复的资产和漏洞进行多次确认。根据业务情况以及服务器的使用情况等综合因素,确认自己的资产是否需要做漏洞修复,并形成漏洞修复列表。

    3、在模拟测试环境中部署待修复漏洞的相关补丁,从兼容性和安全性方面进行测试,并输出补丁漏洞修复测试报告,报告内容应包含补丁漏洞修复情况、漏洞修复的时长、补丁本身的兼容性、以及漏洞修复可能造成的影响。

    4、进行漏洞修复时,最好多人在场,边操作边记录,防止出现误操作。

    5、漏洞修复完成后,在测试环境对目标服务器系统上的漏洞进行修复验证,确保服务器没有异常,输出详细的修复记录进行归档,方便日后遇见相关问题可快速反应。

    总之,为了防止在漏洞修复过程中出现问题,在漏洞修复前要及时备份、制定方案、在测试环境进行模拟测试验证可行性,在修复过程中要小心并及时记录,在修复后及时生成完备的修复报告进行归档。

    如果以上方案仍未能解决您的问题,建议您使用华为云“管理检测与响应”的安全加固功能,一站式完成漏洞修复。

  • 如何减少漏洞扫描服务配额?

    购买漏洞扫描服务或配额后不能减少配额,仅支持升级规格。

    如果用户需要减少配额,需要等之前购买的套餐到期或者退订当前套餐后,重新购买。退订和购买漏洞扫描服务请参考如何退订漏洞扫描服务购买漏洞扫描服务

漏洞扫描工具必看文档

  • 漏洞扫描服务的功能特性

    漏洞扫描服务可以帮助您快速检测出您的网站、主机、移动应用和软件包/固件存在的漏洞,提供详细的漏洞分析报告,并针对不同类型的漏洞提供专业可靠的修复建议。

    漏洞扫描服务可以帮助您快速检测出您的网站、主机、移动应用和软件包/固件存在的漏洞,提供详细的漏洞分析报告,并针对不同类型的漏洞提供专业可靠的修复建议。

  • 漏洞扫描服务的规格差异

    漏洞扫描服务提供了基础版、专业版、高级版和企业版四种服务版本。其中,基础版配额内的服务免费,部分功能按需计费;专业版、高级版和企业版需要收费。

    漏洞扫描服务提供了基础版、专业版、高级版和企业版四种服务版本。其中,基础版配额内的服务免费,部分功能按需计费;专业版、高级版和企业版需要收费。

  • 漏洞扫描工具的使用约束

    VSS是通过公网访问域名/IP地址进行扫描的,请确保该目标域名/IP地址能通过公网正常访问。果您的网站设置了防火墙或其他安全策略,将导致VSS的扫描IP被当成恶意攻击者而误拦截。

    VSS是通过公网访问域名/IP地址进行扫描的,请确保该目标域名/IP地址能通过公网正常访问。果您的网站设置了防火墙或其他安全策略,将导致VSS的扫描IP被当成恶意攻击者而误拦截。

  • 漏洞扫描工具计费说明

    本小节主要介绍漏洞扫描服务的计费说明,包括计费项、计费模式、续费等。VSS根据您的VSS服务版本,扫描配额包的个数和购买时长计费。VSS提供按需计费和包年/包月两种计费模式,用户可以根据实际需求选择计费模式。

    本小节主要介绍漏洞扫描服务的计费说明,包括计费项、计费模式、续费等。VSS根据您的VSS服务版本,扫描配额包的个数和购买时长计费。VSS提供按需计费和包年/包月两种计费模式,用户可以根据实际需求选择计费模式。

  • 漏洞扫描个人数据保护机制

    为了确保网站访问者的个人数据(例如用户名、密码等)不被未经过认证、授权的实体或者个人获取,VSS通过加密存储个人数据、控制个人数据访问权限以及记录操作日志等方法防止个人数据泄露,保证您的个人数据安全。

    为了确保网站访问者的个人数据(例如用户名、密码等)不被未经过认证、授权的实体或者个人获取,VSS通过加密存储个人数据、控制个人数据访问权限以及记录操作日志等方法防止个人数据泄露,保证您的个人数据安全。

  • 漏洞扫描服务权限管理

    如果需要对华为云上购买的VSS资源,为员工设置不同的访问权限,您可以使用统一身份认证服务进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制华为云资源的访问。

    如果需要对华为云上购买的VSS资源,为员工设置不同的访问权限,您可以使用统一身份认证服务进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制华为云资源的访问。

  • 漏洞扫描与其他服务的关系

    统一身份认证服务为VSS提供了权限管理的功能。需要拥有VSS Administrator权限的用户才能使用VSS服务。云审计服务记录了漏洞扫描服务相关的操作事件,方便用户日后的查询、审计和回溯

    统一身份认证服务为VSS提供了权限管理的功能。需要拥有VSS Administrator权限的用户才能使用VSS服务。云审计服务记录了漏洞扫描服务相关的操作事件,方便用户日后的查询、审计和回溯

  • 如何使用漏洞扫描服务

    漏洞扫描服务是针对网站进行漏洞扫描的一种安全检测服务,目前提供通用漏洞检测、漏洞生命周期管理、自定义扫描多项服务。用户新建任务后,即可人工触发扫描任务,检测出网站的漏洞并给出漏洞修复建议。

    漏洞扫描服务是针对网站进行漏洞扫描的一种安全检测服务,目前提供通用漏洞检测、漏洞生命周期管理、自定义扫描多项服务。用户新建任务后,即可人工触发扫描任务,检测出网站的漏洞并给出漏洞修复建议。

  • 漏洞扫描服务api基本概念

    用户注册时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。为了确保账号安全,建议您不要直接使用账号进行日常管理工作,而是创建用户并使用他们进行日常管理工作。

    用户注册时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。为了确保账号安全,建议您不要直接使用账号进行日常管理工作,而是创建用户并使用他们进行日常管理工作。

漏洞扫描服务操作指导教程

漏洞扫描介绍视频帮助您快速了解如何使用漏洞扫描工具 了解更多

漏洞扫描服务域名认证

02:18

漏洞扫描服务域名认证

按需体验专业版Web扫描服务

02:26

按需体验专业版Web扫描服务

创建网站扫描任务

02:27

主机扫描操作流程

04:54

主机扫描操作流程

查看漏洞扫描日志

02:07

VSS移动应用安全

02:16

VSS二进制成分分析

02:24