文档首页 > > 用户指南> 云测新版本> 漏洞扫描

漏洞扫描

分享
更新时间: 2020/07/06 GMT+08:00

漏洞扫描是云测提供给开发者的一项安全测试服务,开发者可以自行创建扫描任务对自己的业务进行漏洞扫描。漏洞扫描服务免费提供给广大开发者使用,帮助开发者实现DevSecOps开发流程,构建更安全的软件产品或网络服务。目前云测开放了Web网站的漏洞扫描服务,后续会加入更多的扫描能力。

漏洞扫描会向被测试目标发送一系列特殊构造的网络请求,来探测目标是否存在特定的安全漏洞。

根据《中华人民共和国网络安全法》的规定:禁止未授权的渗透测试行为,本服务需要通过技术手段验证被测目标的归属权。

本章节为您介绍如何使用DevCloud对网站进行漏洞扫描。

漏洞扫描功能目前只在“华北-北京一”区域开放。

操作步骤

  1. 登录DevCloud首页,搜索目标项目并单击项目名称,进入项目。
  2. 单击顶部导航栏测试 > 漏洞扫描
  3. 单击“新增”,输入待扫描的域名信息。

    • 输入待扫描的域名/IP、备注名称等信息。
    • 参考归属权认证操作方法,完成网站归属权认证。如果通过认证,则可以进行下一步操作。

        

  4. 根据网站业务情况,选择合适的登录方式,并输入相应登录信息。

    系统支持以下三种登录方式,若待扫描的网站有大量需要用户登录后操作的业务逻辑,推荐您选择前两种登录方式,以便更全面发现待扫描网站的漏洞。

    登录方式

    说明

    账号密码登录

    扫描器会将此处填写的用户名和密码,模拟登录网站。登录页面输入框里请填写登录页面的URL,登录验证网址输入框用来验证是否可以成功模拟登录,可以填写一个需要登录的页面地址,如用户个人中心、管理后台等页面。

    cookies登录

    扫描器会将您填写的cookies填充到每个请求中,请您注意cookies有效期,确保长时间不过期或过期后及时更换。

    无需登录

    如果网站没有需要登录的页面,您可以选择此项。

  5. 完成全部设置后,单击“确定并扫描”,系统将跳转至域名列表,并自动启动漏洞扫描。

    若完成设置时单击“确定”,需要在域名列表中单击启动漏洞扫描。

      

  6. 扫描过程中,域名列表会实时刷新扫描状态,如发现漏洞,将会在页面中显示漏洞统计数量和安全评分。

    扫描完成后,在域名列表中单击查看扫描报告;或单击域名进入详情页,选择“扫描报告”页面查看报告详情。

    若网站存在漏洞,单击对应漏洞的“漏洞详情”,即可在弹框中查看漏洞的详细信息和修复建议。

      

归属权认证操作方法

新建漏洞扫描任务时,需要进行待扫描网站的归属权认证。操作步骤如下:

  1. 单击“认证文件”,将认证文件下载到本地电脑。
  2. 将认证文件上传到待扫描网站的根目录中。
  3. 上传完成后,返回新建漏洞扫描任务页面,单击“去确认”,观察能否在本地浏览器成功访问该认证文件。

    如果不能访问,请检查待扫描网站所在服务器的防火墙、安全组等是否正确配置。

  4. 单击“认证”,漏洞扫描服务会在后台访问该文件,确认网站的归属权。

下表列出了一些常见Web服务器上传文件的方法,以供参考。

Web服务器类型

上传文件方法

备注

Tomcat

Apache

IIS

  1. 使用root或管理员账号登录网站所在服务器。
  2. 找到Web根目录,即index文件的同级目录。
  3. 将认证文件SecScan-certify.html保存根目录下。
  • Tomcat默认根目录通常为:/webapps/ROOT/。
  • Apache默认根目录通常为:/var/www/html。
  • IIS默认根目录通常为:C:\inetpub\wwwroot。

Nginx

  1. 使用root或管理员账号登录网站所在服务器。
  2. 将认证文件上传到任意目录下,保证Nginx进程对此目录有读权限。
  3. 打开nginx.conf文件,配置http模块的location信息。将/SecScan-certify.html的访问重定向到上一步的文件。
  4. 执行命令nginx -s reload刷新配置。

配置示例如下(请根据实际情况修改):

http {
  default_type "application/json;charset=utf-8";
  server {
    listen 80;
    location SecScan-certify.html {
      root /path/to/file;
    }
  }
}

  

分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

智能客服提问云社区提问