华为如何扫描网站漏洞

如何扫描网站漏洞  时间:2021-04-15  阅读:()
漏洞扫描服务最佳实践文档版本01发布日期2018-07-05华为技术有限公司版权所有华为技术有限公司2018.
保留一切权利.
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播.
商标声明和其他华为商标均为华为技术有限公司的商标.
本文档提及的其他所有商标或注册商标,由各自的所有人拥有.
注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内.
除非合同另有约定,华为公司对本文档内容不做任何明示或默示的声明或保证.
由于产品版本升级或其他原因,本文档内容会不定期进行更新.
除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保.
华为技术有限公司地址:深圳市龙岗区坂田华为总部办公楼邮编:518129网址:http://e.
huawei.
com文档版本01(2018-07-05)华为专有和保密信息版权所有华为技术有限公司i目录1一键检测最新CVE漏洞.
12检测企业弱密码.
3漏洞扫描服务最佳实践目录文档版本01(2018-07-05)华为专有和保密信息版权所有华为技术有限公司ii1一键检测最新CVE漏洞本章节指导您当业界有新漏洞爆发时,如何快速检测您的网站是否存在该漏洞.
漏洞的危害如今互联网安全局势险峻,每天都会爆发大量的漏洞,其中不泛远程代码执行、远程溢出等高风险漏洞.
黑客会利用漏洞爆发到漏洞修复的这段时间,对用户的网站进行攻击,从而控制网站,窃取机密数据.
CVE漏洞一键检测功能介绍当业界爆发新漏洞时,华为云漏洞扫描服务提供的CVE漏洞一键检测功能,可以帮助用户快速进行漏洞检测,及时发现该漏洞,降低该漏洞被黑客利用的风险.
说明华为云漏洞扫描服务支持OWASPTOP10和WASC的漏洞检测能力,可以对网站进行更全面的扫描,详细操作请参见网站漏洞扫描和主机漏洞扫描.
如何快速检测最新CVE漏洞以下以检测业界最近爆发的漏洞"CVE-2018-1273SpringDataCommons远程命令执行漏洞"为例说明如何使用CVE漏洞一键检测功能.
步骤1登录管理控制台.
步骤2选择"安全>漏洞扫描服务>总览",进入"总览"界面.
步骤3单击"CVE-2018-1273SpringDataCommons"右侧的"一键检测",如图1-1所示.
图1-1一键检测步骤4在弹出的"一键检测最新紧急漏洞风险"窗口中,输入需要检测的域名或IP地址后,单击"快速检测".
漏洞扫描服务最佳实践1一键检测最新CVE漏洞文档版本01(2018-07-05)华为专有和保密信息版权所有华为技术有限公司1用户可以在该界面看到漏洞影响的范围以及修复方案.
图1-2一键检测最新紧急漏洞风险步骤5检测完成后,查看检测结果.
"危险"表示您的网站存在"CVE-2018-1273SpringDataCommons远程命令执行漏洞".
请根据修复建议进行修复,例如:对SpringDtataCommons组件版本进行升级.
图1-3检测结果(危险)----结束漏洞扫描服务最佳实践1一键检测最新CVE漏洞文档版本01(2018-07-05)华为专有和保密信息版权所有华为技术有限公司22检测企业弱密码什么是弱密码弱密码(弱口令),指比较容易被人猜解或破解的密码,例如"123456"、"abc123"、"Huawei@123"等.
弱密码的危害弱密码不归属于某一类漏洞,但其带来的安全隐患却不亚于任何一类漏洞.
数据、程序都储存在系统中,若密码被破解,系统中的数据和程序将毫无安全可言.
l案例一:2015年12月份,某省大量政府官网,因网站系统管理员未修改缺省密码"admin88",导致近一半的网站被黑客入侵,管理员头像遭篡改,并以管理员身份发表测试文章.
l案例二:2016年1月份,某省省级管理网站,因某管理员使用了弱密码"123456",导致该管理人员所在组织内部人员的个人信息全部泄露.
一旦黑客利用网站其他漏洞,将导致全网站组织成员的身份证号、联系方式、家庭住址等信息全部泄露.
如何检测弱密码华为云提供的漏洞扫描服务(VulnerabilityScanService,简称VSS)支持高危端口和弱密码扫描功能,可以针对常见开放的端口进行扫描,并识别出端口上运行的服务,对这些服务进行弱密码检测.
步骤1购买漏洞扫描服务专业版.
步骤2创建扫描任务.
1.
登录管理控制台.
2.
选择"安全>漏洞扫描服务>任务列表",进入"资产列表"界面.
3.
单击"立即扫描",进入"创建任务"界面.
4.
填写扫描信息.
5.
展开"高级扫描设置",在"更多扫描设置"栏目下,打开"端口扫描"和"弱密码扫描"的开关,如图2-1所示.
漏洞扫描服务最佳实践2检测企业弱密码文档版本01(2018-07-05)华为专有和保密信息版权所有华为技术有限公司3图2-1扫描设置说明–漏洞扫描服务提供以下三种"扫描模式":n快速扫描:扫描耗时最少,能检测到的漏洞相对较少.
n标准扫描:扫描耗时适中,能检测到的漏洞相对较多.
n深度扫描:扫描耗时最长,能检测到最深处的漏洞.
–"扫描完毕接收通知":开启后,在任务完成时,用户会收到短信通知.
6.
单击"开始扫描".
步骤3查看扫描结果.
1.
当扫描任务的状态为"已完成"时,单击任务名称.
2.
在任务详情的"漏洞列表"中可以看到发现的弱密码.
图2-2扫描结果3.
单击漏洞ID,可以查看该弱密码详情.
用户可以根据扫描结果,对服务的密码进行修改,增强密码安全强度.
修改完成后可以再次进行弱密码扫描来验证修改效果.
漏洞扫描服务最佳实践2检测企业弱密码文档版本01(2018-07-05)华为专有和保密信息版权所有华为技术有限公司4图2-3漏洞详情----结束密码设置建议l使用复杂度高的密码.
建议密码复杂度至少满足如下要求:漏洞扫描服务最佳实践2检测企业弱密码文档版本01(2018-07-05)华为专有和保密信息版权所有华为技术有限公司5a.
密码长度至少8个字符.
b.
包含如下至少三种组合:i.
大写字母(A~Z)ii.
小写字母(a~z)iii.
数字(0~9)iv.
特殊字符(和空格)c.
密码不为用户名或用户名的倒序l不使用如下常见弱口令:–生日、姓名、身份证、手机号、邮箱名、用户ID、时间年份–数字或字母连排或混排,键盘字母连排(如:123456,abcdef,123abc,qwerty,1qaz2wsx等)–短语密码(如:5201314,woaini1314等)–公司名称、admin、root等常用词汇l不使用空密码或系统的缺省密码l不同网站/账号使用不同的密码l定期修改密码漏洞扫描服务最佳实践2检测企业弱密码文档版本01(2018-07-05)华为专有和保密信息版权所有华为技术有限公司6

ucloud国内云服务器2元/月起;香港云服务器4元/首月;台湾云服务器3元/首月

ucloud云服务器怎么样?ucloud为了扩大云服务器市场份额,给出了超低价云服务器的促销活动,活动仍然是此前的Ucloud全球大促活动页面。目前,ucloud国内云服务器2元/月起;香港云服务器4元/首月;台湾云服务器3元/首月。相当于2-4元就可以试用国内、中国香港、中国台湾这三个地域的云服务器1个月了。ucloud全球大促仅限新用户,国内云服务器个人用户低至56元/年起,香港云服务器也仅8...

ParkinHost:俄罗斯离岸主机,抗投诉VPS,200Mbps带宽/莫斯科CN2线路/不限流量/无视DMCA/55折促销26.4欧元 /年起

外贸主机哪家好?抗投诉VPS哪家好?无视DMCA。ParkinHost今年还没有搞过促销,这次parkinhost俄罗斯机房上新服务器,母机采用2个E5-2680v3处理器、128G内存、RAID10硬盘、2Gbps上行线路。具体到VPS全部200Mbps带宽,除了最便宜的套餐限制流量之外,其他的全部是无限流量VPS。ParkinHost,成立于 2013 年,印度主机商,隶属于 DiggDigi...

盘点618年中大促中这款云服务器/VPS主机相对值得选择

昨天有在"盘点2021年主流云服务器商家618年中大促活动"文章中整理到当前年中大促618活动期间的一些国内国外的云服务商的促销活动,相对来说每年年中和年末的活动力度还是蛮大的,唯独就是活动太过于密集,而且商家比较多,导致我们很多新人不懂如何选择,当然对于我们这些老油条还是会选择的,估计没有比我们更聪明的进行薅爆款新人活动。有网友提到,是否可以整理一篇当前的这些活动商家中的促销产品。哪些商家哪款产...

如何扫描网站漏洞为你推荐
thinkphpThinkphp和onethink有什么区别css加载失败为什么打开微博都显示CSS层加载失败?centos6.5centos 6.5 安装哪些软件X1080012高等数学Ⅱ课程教学大纲正大天地网正大光明是什么数字drupal主题域名和服务器都有了,为什么还是打不开网站?长沙电话号码升位湖南长沙电话号码是几位数织梦去版权dedecms模板上的版权怎么改成自己想要的版权帝国cms帝国cms 登录或退出提示页面404错误???如何设置首页如何设置首页
com域名价格 视频空间租用 免费注册网站域名 老域名全部失效请记好新域名 hkbn tier 中国电信测速112 域名转接 赞助 购买国外空间 银盘服务 512mb 湖南idc 阿里云手机官网 七十九刀 googlevoice 香港博客 comodo asp简介 ddos攻击小组 更多