添加待漏洞扫描的网站
开通漏洞管理服务后,您首先需要将网站资产以IP或域名的形式添加到漏洞管理服务中并完成网站认证,才能进行漏洞扫描。
如果您的网站中存在需要登录才能访问的网页,还需要配置网站登录信息(支持“Web页面登录”、“Cookie登录”和“Header登录”三种登录方式),漏洞管理服务才能为您更好的检测网站安全问题。
如果您在添加网站时,提示“当前套餐可新增域名已达到上限”,无法添加网站时,可参照以下方法进行处理:
- 参照扩容网站漏洞扫描域名配额进行域名配额扩容,购买“扫描配额包”,“扫描配额包”必须大于当前版本已有的配额。
- 如果您的资产列表有不需要防护的网站,建议删除后再添加新的网站。
前提条件
已获取管理控制台的登录账号与密码。
操作步骤
- 登录管理控制台。
- 在左侧导航树中,单击
,选择“服务列表 > 开发与运维 > 漏洞管理服务”,进入漏洞管理服务页面。 - 在“资产列表 > 网站”页签,单击“新建网站”,进入“新建网站 > 填写网站信息”页面。
- 添加网站。
漏洞管理服务是通过公网访问域名/IP地址进行扫描的,请确保该目标域名/IP地址能通过公网正常访问。
- 单个添加网站
- 批量导入网站
- 单击“批量导入”,弹出“批量添加网站”对话框。如图2所示。
- 配置一个及以上网站地址。
- 单击“添加网站”。“网站名称”和“域名信息”根据“网站地址”自动生成。
添加网站信息成功后,支持编辑和删除网站信息。
- 阅读页面下方的“使用须知”并勾选“我已阅读并了解上述使用要求”。单击“下一步”,进入“配置所有权认证”页面。
- 选择认证类型。
如果待检测站点的服务器搭建在华为云上,且该服务器是您当前登录账号的资产,才可以选择“一键认证”的方式进行快速认证,否则只能选择“免认证”的方式进行认证。
- 单击“下一步”,进入“配置网站登录信息”页面。
- (可选)配置网站登录信息。
如果网站中存在需要登录才能访问的网页,进行登录设置后,漏洞管理服务能够为您更好的检测网站安全问题。如果此处未配置网站登录信息,则网站添加成功后,可参考配置网站登录信息进行网站信息的配置。
- 在目标网站所在行的“操作”列,单击“配置网站登录信息”,页面右侧弹出“配置网站登录信息”窗口。
- 参照表2完成网站信息配置,如图5所示。
漏洞管理服务提供了“Web页面登录”、“Cookie登录”和“Header登录”三种登录方式,三种登录方式的开关默认为关闭。请按照业务认证逻辑,启用对应配置。
表2 网站登录页面参数说明 参数名称
参数说明
样例
“Web页面登录”
登录页面
网站登录页面的地址。
https://auth.example.com/
用户名
登录网站的用户名。
test
密码
对应用户名的密码。
--
确认密码
再次输入用户名的密码。
--
“Cookie登录”
当配置的“Web页面登录”无法成功登录进业务系统时,可以尝试通过配置原始Cookie的方式进行扫描。
cookie值
输入登录网站的cookie值。
若没有cookie,请在“Header登录”中,通过添加自定义Header的方式进行登录扫描。
有关获取登录网站的cookie值的详细操作,请参见如何获取网站cookie值?
domain_tag
“Header登录”
自定义Header
配置HTTP请求头部。最多可添加5个自定义HTTP请求头。
当待扫描的网站需要请求中附带特殊的HTTP请求头时,可以通过自定义Header进行设置。
HTTP请求头常见的如:带有Token或Session字样。
--
“网站登录验证”
验证登录网址
登录成功后才能访问的网址,便于漏洞管理服务快速判断您的登录信息是否有效。
https://console.example.com/
- 单击“确认”,完成网站登录信息的配置。
- 阅读《华为云漏洞管理服务声明》后,勾选“我已阅读并同意《华为云漏洞管理服务声明》”。
- 单击“确定”,添加网站成功。
删除网站
- 登录管理控制台。
- 在左侧导航树中,单击
,选择“服务列表 > 开发与运维 > 漏洞管理服务”,进入漏洞管理服务页面。 - 在“资产列表 > 网站”页签,单击对应的网站信息“操作”列的“删除”。
用户可以同时删除多个网站。勾选多个网站后,单击列表左上方的“批量删除”,在弹出的确认对话框单击“确认”,即可批量删除网站。
- 在弹出的确认对话框中,单击“确认”。
在页面右上角弹出“域名删除成功”,则说明网站删除成功。
网站删除后,该资产的历史扫描数据将被删除,不可恢复。
