- 最新动态
- 功能总览
- 服务公告
- 产品介绍
- 计费说明
- 快速入门
- 用户指南
- 最佳实践
- API参考
- SDK参考
-
常见问题
-
产品咨询类
- 什么是区域和可用区?
- 漏洞管理服务的扫描IP有哪些?
- 漏洞管理服务可以免费使用吗?
- 扫描任务有哪些状态?
- 漏洞管理服务到期后还能继续使用吗?
- 扫描任务的得分是如何计算的?
- 按需计费扫描失败怎么办?
- 为什么购买漏洞管理服务失败了?
- 漏洞管理服务能修复扫描出来的漏洞吗?
- 漏洞管理服务和传统的漏洞扫描器有什么区别?
- 漏洞管理服务支持扫描哪些漏洞?
- 如何查看漏洞修复建议?
- 漏洞管理服务可以跨区域使用吗?
- 漏洞管理服务支持跨云扫描吗?
- 漏洞管理服务支持多个账号共享使用吗?
- 单次扫描是否提供扫描报告和修复建议?
- 漏洞管理服务可以对网站文字和图片改变进行检测吗?
- 使用漏洞管理服务前需要备份数据吗?
- 漏洞管理服务如何判定SQL注入风险?
- 漏洞管理服务支持扫描SQL注入吗?
- Apache Log4j2漏洞检测相关问题
- 漏洞管理服务与HSS、WAF有什么区别?
- 漏洞扫描时会影响现有运行服务吗?
- 漏洞管理服务的漏洞库是基于什么的?
- 漏洞管理服务从哪些漏洞源获得已知漏洞信息?
-
网站扫描类
- 使用“一键认证”有什么要求?
- 如何快速发现网站漏洞?
- 网站登录需要动态验证码,可以使用漏洞管理服务的自动登录功能吗?
- 为什么扫描任务自动登录失败了?
- 创建网站扫描任务或重启任务不成功时如何处理?
- 网站漏洞扫描一次需要多久?
- 为什么任务扫描中途就自动取消了?
- 如何设置定时扫描?
- 域名认证完成后网站根目录下面的认证文件可以删除吗?
- 为什么执行下载认证文件操作后没有看到下载的认证文件?
- 创建任务时为什么总是提示域名格式错误?
- 认证文件有什么用途?
- 为什么域名一键认证失败?
- 如何将认证文件上传到网站根目录?
- 如何对网站进行认证?
- 如何解决漏洞管理服务中已添加网站的“网站地址”错误的问题?
- 如何解决网站扫描失败,报连接超时的问题?
- 漏洞管理服务支持web_CMS漏洞吗?
- 标准策略、极速策略和深度策略有哪些区别?
- 已添加的域名是否可以删除?
- 如何查看漏洞管理服务扫描出的网站结构?
- 如何获取网站cookie值?
- 网站cookie值发生变化时,如何进行网站漏洞扫描?
- 如何处理域名认证时提示“域名已被其他人使用”?
- 漏洞管理服务可以扫描域名下的项目吗?
- 如何扫描弱密码?
- 网站扫描是否可以加/web访问?
- 可以扫描产品上线前的局域网站点吗?
- 可以在弱密码库中添加弱密码吗?
- 为什么漏洞发现时间早于扫描开始时间?
- 使用了Web应用防火墙,对网站扫描时SSL/TLS存在bar mitzvah attack漏洞?
- 专业版是否支持一级域名的扫描?
- 如何修复TLS弱加密套件?
- 为什么漏洞管理服务多次扫描结果不一致?
- 新网站资产管理方式会存在什么影响?
-
主机扫描类
- 漏洞管理服务的主机扫描IP有哪些?
- 漏洞管理服务的弱口令检测支持的常见协议和中间件有哪些?
- 为什么主机添加成功后不能在主机列表中查找到?
- 主机扫描支持哪些区域?
- 如何对Linux主机进行授权?
- 如何对Windows主机进行授权?
- 为什么在扫描时会提示授权委托失败?
- 如何解决主机不能访问?
- 主机扫描为什么会扫描失败?
- 主机扫描支持非华为云主机吗?
- 漏洞管理服务支持哪些操作系统的主机扫描?
- 如何修复扫描出来的主机漏洞?
- 漏洞管理服务可以扫描本地的物理服务器吗?
- 物理服务器可以使用漏洞管理服务吗?
- 如何创建SSH授权?
- 配置主机授权时,必须使用加密密钥吗?
- 创建SSH授权时,如何设置登录端口?
- 如何扫描修改了IP地址的主机?
- 对主机扫描出的漏洞执行“忽略”操作有什么影响?
- 主机扫描可以关闭基线检查吗?
- 基线检查的风险个数是如何统计的?
- 等保合规的检查项可以忽略吗?
- 基线检查总数与检查项数不一致,为什么?
- 配置普通用户和sudo提权用户漏洞扫描操作案例
- 如何配置跳板机进行内网扫描?
- 主机互通性测试异常如何处理?
- 为什么安装了最新kernel后仍报出系统存在低版本kernel漏洞未修复?
- 如何开启WinRM服务?
- 使用跳板机扫描内网主机和直接扫描公网主机,在扫描能力方面有什么区别?
- 如何生成私钥和私钥密码?
- 使用较低版本的SSH生成以“BEGIN RSA PRIVATE KEY”开头的密钥无法登录怎么办?
- 如何确认目的主机是否支持公钥认证登录和root登录?
- 主机扫描权限异常如何处理?
- 移动应用安全类
- 二进制成分分析类
- 计费类
- 报告类
-
产品咨询类
- 文档下载
- 通用参考
链接复制成功!
创建网站漏洞扫描任务
操作场景
该任务指导用户通过漏洞管理服务创建扫描任务。如果您当前的服务版本已经为专业版,不会提示升级。
- 基础版支持常见漏洞检测、端口扫描。
- 专业版支持常见漏洞检测、端口扫描、弱密码扫描。
- 高级版支持常见漏洞检测、端口扫描、弱密码扫描。
- 企业版支持常见网站漏洞扫描、基线合规检测、弱密码、端口检测、紧急漏洞扫描、周期性检测。
前提条件
操作步骤
- 登录管理控制台。
- 在左侧导航树中,单击
,选择“服务列表 > 开发与运维 > 漏洞管理服务”,进入漏洞管理服务页面。
- 进入“资产列表 > 网站”页签。
- 单个扫描:单击对应的网站信息“操作”列的“扫描”,页面右侧弹出“创建任务”窗口,后如图1所示。
- 批量扫描:用户可以同时扫描多个网站。勾选多个网站后,单击列表左上方的“批量操作 > 批量扫描”,在页面右侧弹出的“创建任务”窗口中单击“确认”,即可批量扫描网站。
- 根据表1进行扫描设置,根据表2进行扫描项目设置。
表1 扫描信息参数说明 参数
参数说明
扫描策略
三种扫描策略:
- 极速策略:扫描耗时最少,能检测到的漏洞相对较少。
- 标准策略:扫描耗时适中,能检测到的漏洞相对较多。
- 深度策略:扫描耗时最长,能检测到最深处的漏洞。
有些接口只能在登录后才能访问,建议用户配置对应接口的用户名和密码,漏洞管理服务才能进行深度扫描。
开始时间
可选参数,设置开始扫描的时间,不设置默认立即扫描。
手动探索文件
仅企业版(单个域名扫描)涉及该参数的配置。
单击“添加文件”可添加需要扫描的探索文件。手动探索文件的获取方式,请参考手动探索指导,文件大小不要超过30M。
使用手动探索文件时,将不启用自动爬虫,仅扫描探索文件中指定的URL。
是否扫描登录URL
默认不扫描登录URL,开启扫描登录URL前请先评估业务影响。
是否将本次扫描升级为专业版规格
仅基础版涉及该参数的配置,如果您当前的服务版本已经为专业版,不会提示升级。
- 鼠标移动至
了解升级后影响。
- 打开此功能时,扫描时会自动升级为专业版按需扣费,关闭该功能时,扫描时不会升级。
版本规格:
- 基础版支持常见漏洞检测、端口扫描。
- 专业版支持常见漏洞检测、端口扫描、弱密码扫描。
- 高级版支持常见漏洞检测、端口扫描、弱密码扫描。
- 企业版支持常见网站漏洞扫描、基线合规检测、弱密码、端口检测、紧急漏洞扫描、周期性检测。
表2 扫描项设置参数说明 扫描项名称
说明
Web常规漏洞扫描(包括XSS、SQL注入等30多种常见漏洞)
提供了常规的30多种常见漏洞的扫描,如XSS、SQL等漏洞的扫描。默认为开启状态,不支持关闭。
端口扫描
检测主机打开的所有端口。
弱密码扫描
对网站的弱密码进行扫描检测。
CVE漏洞扫描
CVE,即公共暴露漏洞库。漏洞管理服务可以快速更新漏洞规则,扫描最新漏洞。
网页内容合规检测(文字)
对网站文字的合规性进行检测。
网页内容合规检测(图片)
对网站图片的合规性进行检测。
网站挂马检测
挂马:上传木马到网站上,使得网站在运行的时候执行木马程序,被黑客控制,遭受损失。漏洞管理服务可以检测网站是否存在挂马。
链接健康检测(死链、暗链、恶意外链)
对网站的链接地址进行健康性检测,避免您的网站出现死链、暗链、恶意链接。
- 设置完成后,单击“确认”,进入扫描任务页面。
创建扫描任务后,会先进入“排队中”状态,满足运行条件后任务状态变为“进行中”。
当网站列表中有“扫描状态”为“排队中”或“进行中”的任务时,可以单击网站列表上方的“批量取消”,在弹出的窗口中勾选需要取消扫描操作的网站进行批量取消。
后续处理
扫描任务完成,您可以查看网站详情并下载网站扫描报告,详细操作请参见查看网站漏洞扫描详情、生成并下载网站漏洞扫描报告。
相关操作
如果您在创建扫描任务过程中遇到问题,请参考以下方法解决: