使用漏洞管理服务进行网站扫描
- 漏洞管理服务(CodeArts Inspector)是针对网站、主机、移动应用、软件包/固件进行漏洞扫描的一种安全检测服务,目前提供通用漏洞检测、漏洞生命周期管理、自定义扫描多项服务。扫描成功后,提供扫描报告详情,用于查看漏洞明细、修复建议等信息。
- 用户新建任务后,即可人工触发扫描任务,检测出网站的漏洞并给出漏洞修复建议。
- 本指南指导您快速上手使用漏洞管理服务扫描网站信息。
准备工作
- 在开始操作前,请您先注册华为账号并完成实名认证,详情请参见注册华为账号并开通华为云和个人实名认证。
- 请您保证账户有足够的资金,以免创建集群失败,具体操作请参见账户充值。
- 购买漏洞管理服务,具体操作请参见购买漏洞管理服务。
添加网站
- 在“资产列表 > 网站”页签,单击“新建网站”,进入“新建网站 > 填写网站信息”页面。
- 单击左上角“添加”,如图1所示,配置网站信息。
“网站地址”正确格式为:http://域名或IP地址、https://域名或IP地址。
漏洞管理服务是通过公网访问域名/IP地址进行扫描的,请确保该目标域名/IP地址能通过公网正常访问。
- 单击新增网站所在行的“确认”,添加网站成功。
添加网站成功后,“域名信息”自动获取“网站地址”中的信息生成。
- (可选)配置网站登录信息。
如果网站中存在需要登录才能访问的网页,进行登录设置后,漏洞管理服务能够为您更好的检测网站安全问题。如果此处未配置网站登录信息,则网站添加成功后,可参考网站登录设置进行网站信息的配置。
- 阅读《华为云漏洞管理服务声明》后,勾选“我已阅读并同意《华为云漏洞管理服务声明》”。
- 单击“确定”,添加网站成功。
创建扫描任务
- 网站添加成功后,在目标网站的“操作”列,单击“扫描”。
- 在弹出的“创建任务”页面中配置扫描信息。您可以根据实际情况开启需要扫描的检测项。
图2 配置扫描信息
- 设置完成后,单击“确认”。了解详细步骤请参考创建扫描任务。
如果您目前为基础版,只是需要享受单次专业版扫描服务,请打开“是否将本次扫描升级为专业版规格”开关。
查看扫描结果
- 在目标网站所在行的“安全等级”列,单击“查看报告”,进入扫描结果界面。
图3 查看报告
- 分别查看任务概况、漏洞列表、业务风险列表、站点结构、端口列表、站点信息和扫描项总览。
了解详细步骤请参考查看网站扫描详情。
图4 查看扫描结果
- 单击“生成报告”,弹出“生成报告配置”窗口。
如果报告已生成,可直接执行8。扫描报告仅支持专业版及以上版本扫描任务下载,请升级到专业版及以上版本体验。
图5 生成报告
- (可选)修改“报告名称”,勾选要生成的报告文件类型。
- 单击“确定”,弹出前往报告中心下载报告的提示框。
- 单击“确定”,进入“报告中心”页面。
- 单击生成报告所在行的“下载”,可将报告下载到本地。
- 单击“下载报告”,查看详细的检测报告。
基础版不支持下载报告功能,为了更好的防护您的资产,建议您购买专业版或者企业版漏洞管理服务。