漏洞扫描服务VSS如何进行网站和主机的扫描

举报
gentle_zhou 发表于 2022/11/27 00:14:07 2022/11/27
【摘要】 我们需要了解针对网站,为了保障业务的安全和对业务的影响尽量低,我们需要将网站资产以IP或域名的形式添加到服务中并完成域名认证之后,才能进行扫描;针对主机,我们则需要对已添加的主机进行扫描授权。

首先,我们需要了解针对网站,为了保障业务的安全和对业务的影响尽量低,我们需要将网站资产以IP或域名的形式添加到服务中并完成域名认证之后,才能进行扫描;针对主机,我们则需要对已添加的主机进行扫描授权。

网站扫描

添加域名

登录管理控制台,在左侧导航树中,单击选择“安全与合规 > 漏洞扫描服务”,进入漏洞扫描服务页面:
image.png

在“资产列表 > 网站”页签,单击“新增域名”,进入添加域名入口:
image.png

域名认证

在弹出的对话框中,添加“域名/IP地址”,设置“域名别称”;单击“确认”,进行域名所有权认证,这里我们可以选择“一键认证”(如果待检测站点的服务器搭建在华为云上,且该服务器是您当前登录账号的资产,您可以点击下方的“完成认证”按钮进行快速认证)或则“免认证”(要求如下图所示):
image.png

之后,页面会跳转到“网站设置”页面(如果我们的网站中存在需要登录才能访问的网页,还需要配置网站登录信息(“账号密码登录”和“cookie登录”两种登录方式),VSS这样才能更好的检测出网站安全问题):
image.png

扫描

在漏洞扫描服务页面,在“资产列表 > 网站”页签,单击对应的网站信息“操作”列的“扫描”:
image.png

在“创建任务”界面,可以进行扫描设置参数配置,(包括任务名称,目标网址,开始时间,扫描模式,手动探索文件,是否扫描登录URL)以及扫描项设置:
image.png

扫描完成之后,我们可以查看上一次扫描的结果详情:
image.png

image.png

image.png

我们当然也可以把报告生成,下载到本地:
image.png

image.png

主机扫描

注1:VSS的基础版不支持主机扫描功能;需要我们购买专业版或企业版,或则按次购买主机扫描功能,或则按次一次性扣费(每次最多可以扫描20台主机)。

注2:漏洞扫描服务支持添加Linux操作系统和Windows操作系统的主机。
Linux主机扫描支持主机漏洞扫描、基线检测、等保合规检测。
Windows主机扫描目前仅支持主机漏洞扫描。

添加

登录管理控制台,进入漏洞扫描服务管理控制台;在左侧导航树中,选择“资产列表 > 主机”,进入添加主机入口:
image.png

在“添加主机”页面,我们可以选择添加单个主机,需要配置参数信息如下:
image.png

image.png

也可以选择批量添加主机;在“批量添加主机”对话框中,配置IP地址,多个IP地址,使用换行分开:
image.png

主机授权

之后我们需要对已添加的Linux/Windows主机进行扫描授权。

Linux

如果是Linux主机,在漏洞扫描服务管理控制台的左侧导航栏,选择“资产列表 > 主机”,批量选择需要配置的主机,单击“批量操作 > 编辑”,进入批量授权入口(当然也支持单台主机授权):
image.png

在主机授权页面,批量选择需要授权的主机,单击“批量配置授权信息”:
image.png

选择SSH授权方式进行主机授权(参数包含:SSH授权别称,SSH授权登录的端口号,选择登录方式,选择加密密钥,Root权限是否加固,sudo用户名和密码):
image.png

Windows

如果是Windows主机,依然如上面方式所说,进入批量授权入口:
image.png

在主机授权页面,批量选择需要授权的主机,单击“批量配置授权信息”;在弹出的对话框中,选择已有windows授权,或者单击“创建windows授权”创建windows授权(需要参数信息-windows授权别称,选择加密密钥,用户名,密码,账号域):
image.png

扫描

开启主机扫描后,漏洞扫描服务将对主机进行漏洞扫描与基线检测。

进入漏洞扫描服务管理控制台,在左侧导航栏,选择“资产列表 > 主机”;单击主机信息“操作”列的扫描,进入主机扫描入口:
image.png

回到主机信息页面,在目标主机所在行的“上一次扫描结果”列,单击分数或者“查看详情”,查看相应任务的“扫描项总览”(详情总览-目标IP,任务信息,扫描项):
image.png

image.png

且包含4个页签:“扫描项”页签-查看目标主机的扫描项信息,“漏洞列表”页签-查看目标主机的漏洞信息,“基线检查”页签-查看主机扫描的基线检查信息,“等保合规(企业版)”页签-显示目标主机的等保合规检测信息
image.png

image.png

image.png

image.png

当主机扫描任务成功完成后,我们还可以下载漏洞扫描报告和等保合规配置报告,报告目前只支持PDF格式。选择主机,单击“下载报告”进入下载主机扫描报告入口(选择“漏洞扫描报告”或“等保合规配置报告(企业版)”,将目标主机的扫描报告下载到本地):
image.png

参考链接

  1. https://support.huaweicloud.com/usermanual-vss/vss_01_0115.html
【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。