漏洞扫描服务最佳实践文档版本01发布日期2018-07-05华为技术有限公司版权所有华为技术有限公司2018.
保留一切权利.
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播.
商标声明和其他华为商标均为华为技术有限公司的商标.
本文档提及的其他所有商标或注册商标,由各自的所有人拥有.
注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内.
除非合同另有约定,华为公司对本文档内容不做任何明示或默示的声明或保证.
由于产品版本升级或其他原因,本文档内容会不定期进行更新.
除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保.
华为技术有限公司地址:深圳市龙岗区坂田华为总部办公楼邮编:518129网址:http://e.
huawei.
com文档版本01(2018-07-05)华为专有和保密信息版权所有华为技术有限公司i目录1一键检测最新CVE漏洞.
12检测企业弱密码.
3漏洞扫描服务最佳实践目录文档版本01(2018-07-05)华为专有和保密信息版权所有华为技术有限公司ii1一键检测最新CVE漏洞本章节指导您当业界有新漏洞爆发时,如何快速检测您的网站是否存在该漏洞.
漏洞的危害如今互联网安全局势险峻,每天都会爆发大量的漏洞,其中不泛远程代码执行、远程溢出等高风险漏洞.
黑客会利用漏洞爆发到漏洞修复的这段时间,对用户的网站进行攻击,从而控制网站,窃取机密数据.
CVE漏洞一键检测功能介绍当业界爆发新漏洞时,华为云漏洞扫描服务提供的CVE漏洞一键检测功能,可以帮助用户快速进行漏洞检测,及时发现该漏洞,降低该漏洞被黑客利用的风险.
说明华为云漏洞扫描服务支持OWASPTOP10和WASC的漏洞检测能力,可以对网站进行更全面的扫描,详细操作请参见网站漏洞扫描和主机漏洞扫描.
如何快速检测最新CVE漏洞以下以检测业界最近爆发的漏洞"CVE-2018-1273SpringDataCommons远程命令执行漏洞"为例说明如何使用CVE漏洞一键检测功能.
步骤1登录管理控制台.
步骤2选择"安全>漏洞扫描服务>总览",进入"总览"界面.
步骤3单击"CVE-2018-1273SpringDataCommons"右侧的"一键检测",如图1-1所示.
图1-1一键检测步骤4在弹出的"一键检测最新紧急漏洞风险"窗口中,输入需要检测的域名或IP地址后,单击"快速检测".
漏洞扫描服务最佳实践1一键检测最新CVE漏洞文档版本01(2018-07-05)华为专有和保密信息版权所有华为技术有限公司1用户可以在该界面看到漏洞影响的范围以及修复方案.
图1-2一键检测最新紧急漏洞风险步骤5检测完成后,查看检测结果.
"危险"表示您的网站存在"CVE-2018-1273SpringDataCommons远程命令执行漏洞".
请根据修复建议进行修复,例如:对SpringDtataCommons组件版本进行升级.
图1-3检测结果(危险)----结束漏洞扫描服务最佳实践1一键检测最新CVE漏洞文档版本01(2018-07-05)华为专有和保密信息版权所有华为技术有限公司22检测企业弱密码什么是弱密码弱密码(弱口令),指比较容易被人猜解或破解的密码,例如"123456"、"abc123"、"Huawei@123"等.
弱密码的危害弱密码不归属于某一类漏洞,但其带来的安全隐患却不亚于任何一类漏洞.
数据、程序都储存在系统中,若密码被破解,系统中的数据和程序将毫无安全可言.
l案例一:2015年12月份,某省大量政府官网,因网站系统管理员未修改缺省密码"admin88",导致近一半的网站被黑客入侵,管理员头像遭篡改,并以管理员身份发表测试文章.
l案例二:2016年1月份,某省省级管理网站,因某管理员使用了弱密码"123456",导致该管理人员所在组织内部人员的个人信息全部泄露.
一旦黑客利用网站其他漏洞,将导致全网站组织成员的身份证号、联系方式、家庭住址等信息全部泄露.
如何检测弱密码华为云提供的漏洞扫描服务(VulnerabilityScanService,简称VSS)支持高危端口和弱密码扫描功能,可以针对常见开放的端口进行扫描,并识别出端口上运行的服务,对这些服务进行弱密码检测.
步骤1购买漏洞扫描服务专业版.
步骤2创建扫描任务.
1.
登录管理控制台.
2.
选择"安全>漏洞扫描服务>任务列表",进入"资产列表"界面.
3.
单击"立即扫描",进入"创建任务"界面.
4.
填写扫描信息.
5.
展开"高级扫描设置",在"更多扫描设置"栏目下,打开"端口扫描"和"弱密码扫描"的开关,如图2-1所示.
漏洞扫描服务最佳实践2检测企业弱密码文档版本01(2018-07-05)华为专有和保密信息版权所有华为技术有限公司3图2-1扫描设置说明–漏洞扫描服务提供以下三种"扫描模式":n快速扫描:扫描耗时最少,能检测到的漏洞相对较少.
n标准扫描:扫描耗时适中,能检测到的漏洞相对较多.
n深度扫描:扫描耗时最长,能检测到最深处的漏洞.
–"扫描完毕接收通知":开启后,在任务完成时,用户会收到短信通知.
6.
单击"开始扫描".
步骤3查看扫描结果.
1.
当扫描任务的状态为"已完成"时,单击任务名称.
2.
在任务详情的"漏洞列表"中可以看到发现的弱密码.
图2-2扫描结果3.
单击漏洞ID,可以查看该弱密码详情.
用户可以根据扫描结果,对服务的密码进行修改,增强密码安全强度.
修改完成后可以再次进行弱密码扫描来验证修改效果.
漏洞扫描服务最佳实践2检测企业弱密码文档版本01(2018-07-05)华为专有和保密信息版权所有华为技术有限公司4图2-3漏洞详情----结束密码设置建议l使用复杂度高的密码.
建议密码复杂度至少满足如下要求:漏洞扫描服务最佳实践2检测企业弱密码文档版本01(2018-07-05)华为专有和保密信息版权所有华为技术有限公司5a.
密码长度至少8个字符.
b.
包含如下至少三种组合:i.
大写字母(A~Z)ii.
小写字母(a~z)iii.
数字(0~9)iv.
特殊字符(和空格)c.
密码不为用户名或用户名的倒序l不使用如下常见弱口令:–生日、姓名、身份证、手机号、邮箱名、用户ID、时间年份–数字或字母连排或混排,键盘字母连排(如:123456,abcdef,123abc,qwerty,1qaz2wsx等)–短语密码(如:5201314,woaini1314等)–公司名称、admin、root等常用词汇l不使用空密码或系统的缺省密码l不同网站/账号使用不同的密码l定期修改密码漏洞扫描服务最佳实践2检测企业弱密码文档版本01(2018-07-05)华为专有和保密信息版权所有华为技术有限公司6
wordpress简洁英文主题,wordpress简洁通用大气的网站风格设计 + 更适于欧美国外用户操作体验,完善的外贸企业建站功能模块 + 更好的移动设备特色模块支持,更高效实用的后台自定义设置 + 标准高效的代码程序功能结构,更利于Goolge等国际搜索引擎的SEO搜索优化和站点收录排名。点击进入:wordpress简洁通用型高级外贸主题主题价格:¥3980 特 惠 价:¥1280安装环境:运...
日前,国内知名主机服务商阿里云与国外资深服务器面板Plesk强强联合,推出 阿里云域名注册与备案、服务器ECS购买与登录使用 前言云服务器(Elastic 只需要确定cpu内存与带宽基本上就可以了,对于新手用户来说,我们在购买阿里云服务申请服务器与域名许多云服务商的云服务器配置是弹性的 三周学会小程序第三讲:服务 不过这个国外服务器有点慢,可以考虑国内的ngrokcc。 ngrokcc...
天上云服务器怎么样?天上云是国人商家,成都天上云网络科技有限公司,专注于香港、美国海外云服务器的产品,有多年的运维维护经验。世界这么大 靠谱最重,我们7*24H为您提供服务,贴心售后服务,安心、省事儿、稳定、靠谱。目前,天上云香港大带宽物理机服务器572元;20Mbps带宽!三网CN2线路,香港沙田数据中心!点击进入:天上云官方网站地址香港沙田数据中心!线路说明 :去程中国电信CN2 +中国联通+...
如何扫描网站漏洞为你推荐
企业cms我想给一个企业做个网站需要用到CMS 不知道什么CMS比较适合企业主要是产品模块强大支付宝账户是什么什么是企业支付宝账户asp.net网页制作怎么用ASP.NET 做一个网页注册。简单的就行360arp防火墙在哪360ARP防火墙平阴县教育和体育局下属锦东小学教学设备采购项目竞争性磋商文件本公司www可信网站网站备案了,还要验证可信网站吗?他们有什么区别如何发帖子如何发表帖子地址栏图标电脑地址栏上的所有图标怎么找?zencart模板要把zen cart用好的话,需要具备哪些知识?
中文域名注册查询 com域名价格 vps动态ip 什么是域名解析 webhosting mach5 正版win8.1升级win10 ubuntu更新源 jsp空间 怎样建立邮箱 广州服务器 最好的qq空间 100mbps 我的世界服务器ip 贵阳电信测速 国内空间 卡巴斯基试用版下载 香港ip windowsserver2008r2 美国十大啦 更多