非华为云主机配置漏扫产品体验

举报
极客潇 发表于 2020/09/09 13:58:42 2020/09/09
【摘要】 客户服务器需要部署一套漏扫服务,推荐了使用华为云的漏洞扫描服务。由于该客户为线下的物理机,所以本次记录在部署的时候遇到的坑,仅供参考。(所有信息均已脱敏)

 

背景介绍

 

某客户服务器需要部署一套漏扫服务,推荐了使用华为云的漏洞扫描服务。由于该客户为线下的物理机,所以本次记录在部署的时候遇到的坑,仅供参考。(所有信息均已脱敏)

 

非华为云主机配置漏扫体验87.png 

 

华为云上的漏扫版本为专业版,防护能力还是可以的,价格也能接受。

 

资产列表设置

 

需要在资产列表中添加信息,这里包括了网站、主机两种类型,都支持华为云主机以及非华为云主机部署。主机这里添加系统目前我看只支持linux,需要注意下。

 

 

 

 

 

以添加网站为例:点击新增域名,设置域名或IP地址以及域名别称即可完成设置

 

 

 

 

对于本次的场景,需要进行域名认证,在平台会生成一个认证文件,下载到检测端服务器,并放置到网站的根目录下。认证文件是为了验证用户和被扫描的网站的所有权。华为云漏洞扫描服务不同于一般的扫描工具,需要确保用户扫描的网站的所有权是用户自己。因为VSS的扫描原理是基于自动化渗透测试(对被扫描的对象发送非恶意的“攻击报文”)。VSS为了验证用户和被扫描的网站的所有权,会生成一个唯一的文件,只要该文件存放到网站根目录下,文件能够正常被外界访问,VSS就认为当前用户拥有该站点的所有权。

 

 

 

 

这里遇到一些问题,点击认证是可以访问到的,但是却无法完成认证。究其原因,是因为网站设置了防火墙或其他安全策略,导致漏洞扫描的扫描IP被当成恶意攻击者而误拦截。将以下漏洞扫描的扫描IP添加至网站访问的白名单中,就可以了。

121.36.16.183121.36.20.138121.36.31.222

 

开始扫描

 

 

 

最后可以针对网站做一次全面的扫描,扫描任务被创建后,初始得分是一百分,任务扫描完成后,根据扫描出的漏洞级别会扣除相应的分数。得分越高,表示漏洞数量越少,网站越安全。其中网站扫描:高危减10分,中危减5分,低危减3分,无漏洞则不扣分。在扫描完毕后会给出修复建议,可根据建议完成修复。

 

 

 

 

 

 

扫描的种类也很丰富,主要是得益于够买的漏扫具备的能力,以下这些都是支持的:

Web常规漏洞扫描(包括XSSSQL注入等30多种常见漏洞)

端口扫描

弱密码扫描

CVE漏洞扫描

网页内容合规检测(文字)

 

 

 

 

 

修复报告

 

比较疑惑的是,为什么不能有一键修复的按钮呢,我想可能涉及的太深入了,毕竟问题会千奇百怪,变形也很多,无法按照固定的方式修复。那么一键修复的就可能会有大概率失败,效果不好。

 

 

 

 

 

总结

1、在配置认证域名那里存在一些问题,防火墙或是安全软件不能有拦截

2、扫描完成后,给出的修复建议,需要手动完成修复

3、添加主机处外部的服务器不支持windows系统

 

 

 

 


【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。