更新时间:2024-12-04 GMT+08:00
分享

添加待漏洞扫描的网站

开通漏洞管理服务后,您首先需要将网站资产以IP或域名的形式添加到漏洞管理服务中并完成网站认证,才能进行漏洞扫描。

如果您的网站中存在需要登录才能访问的网页,还需要配置网站登录信息(支持“Web页面登录”“Cookie登录”“Header登录”三种登录方式),漏洞管理服务才能为您更好的检测网站安全问题。

如果您在添加网站时,提示“当前套餐可新增域名已达到上限”,无法添加网站时,可参照以下方法进行处理:

  • 参照扩容网站漏洞扫描域名配额进行域名配额扩容,购买“扫描配额包”“扫描配额包”必须大于当前版本已有的配额。
  • 如果您的资产列表有不需要防护的网站,建议删除后再添加新的网站。

前提条件

已获取管理控制台的登录账号与密码。

操作步骤

  1. 登录管理控制台
  2. 在左侧导航树中,单击,选择“服务列表 > 开发与运维 > 漏洞管理服务”,进入漏洞管理服务页面。
  3. 在“资产列表 > 网站”页签,单击“新建网站”,进入“新建网站 > 填写网站信息”页面。
  4. 添加网站。

    漏洞管理服务是通过公网访问域名/IP地址进行扫描的,请确保该目标域名/IP地址能通过公网正常访问。

    • 单个添加网站
      1. 单击左上角“添加”,如图1所示,参数说明如表1所示。
        图1 添加网站
        表1 添加网站配置参数说明

        参数名称

        参数说明

        网站名称

        用户需要添加的网站名称。

        网站地址

        添加网站的地址。

        正确格式为:http://域名或IP地址、https://域名或IP地址。

        域名信息

        无需配置。添加网站成功后,“域名信息”自动获取“网站地址”中的信息生成。

      2. 单击新增网站所在行的“确认”,添加网站成功。
    • 批量导入网站
      1. 单击“批量导入”,弹出“批量添加网站”对话框。如图2所示。
        图2 批量添加网站
      2. 配置一个及以上网站地址。

        网站地址格式为:http://域名或IP地址、https://域名或IP地址。多个网站地址使用换行分开。

      3. 单击“添加网站”。“网站名称”“域名信息”根据“网站地址”自动生成。

    添加网站信息成功后,支持编辑和删除网站信息。

  5. 阅读页面下方的“使用须知”并勾选“我已阅读并了解上述使用要求”。单击“下一步”,进入“配置网站登录信息”页面。
  6. (可选)配置网站登录信息。

    如果网站中存在需要登录才能访问的网页,进行登录设置后,漏洞管理服务能够为您更好的检测网站安全问题。如果此处未配置网站登录信息,则网站添加成功后,可参考配置网站登录信息进行网站信息的配置。
    1. 在目标网站所在行的“操作”列,单击“配置网站登录信息”,页面右侧弹出“配置网站登录信息”窗口。
    2. 参照表2完成网站信息配置,如图3所示。
      图3 网站登录设置

      漏洞管理服务提供了“Web页面登录”“Cookie登录”“Header登录”三种登录方式,三种登录方式的开关默认为关闭。请按照业务认证逻辑,启用对应配置。

      表2 网站登录页面参数说明

      参数名称

      参数说明

      样例

      “Web页面登录”

      登录页面

      网站登录页面的地址。

      https://auth.example.com/

      用户名

      登录网站的用户名。

      test

      密码

      对应用户名的密码。

      --

      确认密码

      再次输入用户名的密码。

      --

      “Cookie登录”

      当配置的“Web页面登录”无法成功登录进业务系统时,可以尝试通过配置原始Cookie的方式进行扫描。

      cookie值

      输入登录网站的cookie值。

      若没有cookie,请在“Header登录”中,通过添加自定义Header的方式进行登录扫描。

      有关获取登录网站的cookie值的详细操作,请参见如何获取网站cookie值?

      domain_tag

      “Header登录”

      自定义Header

      配置HTTP请求头部。最多可添加5个自定义HTTP请求头。

      当待扫描的网站需要请求中附带特殊的HTTP请求头时,可以通过自定义Header进行设置。

      HTTP请求头常见的如:带有Token或Session字样。

      --

      “网站登录验证”

      验证登录网址

      登录成功后才能访问的网址,便于漏洞管理服务快速判断您的登录信息是否有效。

      https://console.example.com/

    3. 单击“确认”,完成网站登录信息的配置。

  7. 阅读《华为云漏洞管理服务声明》后,勾选“我已阅读并同意《华为云漏洞管理服务声明》”
  8. 单击“确定”,添加网站成功。

删除网站

  1. 登录管理控制台
  2. 在左侧导航树中,单击,选择“服务列表 > 开发与运维 > 漏洞管理服务”,进入漏洞管理服务页面。
  3. 在“资产列表 > 网站”页签,单击对应的网站信息“操作”列的“删除”。

    用户可以同时删除多个网站。勾选多个网站后,单击列表左上方的“批量删除”,在弹出的确认对话框单击“确认”,即可批量删除网站。

  4. 在弹出的确认对话框中,单击“确认”

    在页面右上角弹出“域名删除成功”,则说明网站删除成功。

网站删除后,该资产的历史扫描数据将被删除,不可恢复。

相关文档