华为如何扫描网站漏洞

如何扫描网站漏洞  时间:2021-04-15  阅读:()
漏洞扫描服务最佳实践文档版本01发布日期2018-07-05华为技术有限公司版权所有华为技术有限公司2018.
保留一切权利.
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播.
商标声明和其他华为商标均为华为技术有限公司的商标.
本文档提及的其他所有商标或注册商标,由各自的所有人拥有.
注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内.
除非合同另有约定,华为公司对本文档内容不做任何明示或默示的声明或保证.
由于产品版本升级或其他原因,本文档内容会不定期进行更新.
除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保.
华为技术有限公司地址:深圳市龙岗区坂田华为总部办公楼邮编:518129网址:http://e.
huawei.
com文档版本01(2018-07-05)华为专有和保密信息版权所有华为技术有限公司i目录1一键检测最新CVE漏洞.
12检测企业弱密码.
3漏洞扫描服务最佳实践目录文档版本01(2018-07-05)华为专有和保密信息版权所有华为技术有限公司ii1一键检测最新CVE漏洞本章节指导您当业界有新漏洞爆发时,如何快速检测您的网站是否存在该漏洞.
漏洞的危害如今互联网安全局势险峻,每天都会爆发大量的漏洞,其中不泛远程代码执行、远程溢出等高风险漏洞.
黑客会利用漏洞爆发到漏洞修复的这段时间,对用户的网站进行攻击,从而控制网站,窃取机密数据.
CVE漏洞一键检测功能介绍当业界爆发新漏洞时,华为云漏洞扫描服务提供的CVE漏洞一键检测功能,可以帮助用户快速进行漏洞检测,及时发现该漏洞,降低该漏洞被黑客利用的风险.
说明华为云漏洞扫描服务支持OWASPTOP10和WASC的漏洞检测能力,可以对网站进行更全面的扫描,详细操作请参见网站漏洞扫描和主机漏洞扫描.
如何快速检测最新CVE漏洞以下以检测业界最近爆发的漏洞"CVE-2018-1273SpringDataCommons远程命令执行漏洞"为例说明如何使用CVE漏洞一键检测功能.
步骤1登录管理控制台.
步骤2选择"安全>漏洞扫描服务>总览",进入"总览"界面.
步骤3单击"CVE-2018-1273SpringDataCommons"右侧的"一键检测",如图1-1所示.
图1-1一键检测步骤4在弹出的"一键检测最新紧急漏洞风险"窗口中,输入需要检测的域名或IP地址后,单击"快速检测".
漏洞扫描服务最佳实践1一键检测最新CVE漏洞文档版本01(2018-07-05)华为专有和保密信息版权所有华为技术有限公司1用户可以在该界面看到漏洞影响的范围以及修复方案.
图1-2一键检测最新紧急漏洞风险步骤5检测完成后,查看检测结果.
"危险"表示您的网站存在"CVE-2018-1273SpringDataCommons远程命令执行漏洞".
请根据修复建议进行修复,例如:对SpringDtataCommons组件版本进行升级.
图1-3检测结果(危险)----结束漏洞扫描服务最佳实践1一键检测最新CVE漏洞文档版本01(2018-07-05)华为专有和保密信息版权所有华为技术有限公司22检测企业弱密码什么是弱密码弱密码(弱口令),指比较容易被人猜解或破解的密码,例如"123456"、"abc123"、"Huawei@123"等.
弱密码的危害弱密码不归属于某一类漏洞,但其带来的安全隐患却不亚于任何一类漏洞.
数据、程序都储存在系统中,若密码被破解,系统中的数据和程序将毫无安全可言.
l案例一:2015年12月份,某省大量政府官网,因网站系统管理员未修改缺省密码"admin88",导致近一半的网站被黑客入侵,管理员头像遭篡改,并以管理员身份发表测试文章.
l案例二:2016年1月份,某省省级管理网站,因某管理员使用了弱密码"123456",导致该管理人员所在组织内部人员的个人信息全部泄露.
一旦黑客利用网站其他漏洞,将导致全网站组织成员的身份证号、联系方式、家庭住址等信息全部泄露.
如何检测弱密码华为云提供的漏洞扫描服务(VulnerabilityScanService,简称VSS)支持高危端口和弱密码扫描功能,可以针对常见开放的端口进行扫描,并识别出端口上运行的服务,对这些服务进行弱密码检测.
步骤1购买漏洞扫描服务专业版.
步骤2创建扫描任务.
1.
登录管理控制台.
2.
选择"安全>漏洞扫描服务>任务列表",进入"资产列表"界面.
3.
单击"立即扫描",进入"创建任务"界面.
4.
填写扫描信息.
5.
展开"高级扫描设置",在"更多扫描设置"栏目下,打开"端口扫描"和"弱密码扫描"的开关,如图2-1所示.
漏洞扫描服务最佳实践2检测企业弱密码文档版本01(2018-07-05)华为专有和保密信息版权所有华为技术有限公司3图2-1扫描设置说明–漏洞扫描服务提供以下三种"扫描模式":n快速扫描:扫描耗时最少,能检测到的漏洞相对较少.
n标准扫描:扫描耗时适中,能检测到的漏洞相对较多.
n深度扫描:扫描耗时最长,能检测到最深处的漏洞.
–"扫描完毕接收通知":开启后,在任务完成时,用户会收到短信通知.
6.
单击"开始扫描".
步骤3查看扫描结果.
1.
当扫描任务的状态为"已完成"时,单击任务名称.
2.
在任务详情的"漏洞列表"中可以看到发现的弱密码.
图2-2扫描结果3.
单击漏洞ID,可以查看该弱密码详情.
用户可以根据扫描结果,对服务的密码进行修改,增强密码安全强度.
修改完成后可以再次进行弱密码扫描来验证修改效果.
漏洞扫描服务最佳实践2检测企业弱密码文档版本01(2018-07-05)华为专有和保密信息版权所有华为技术有限公司4图2-3漏洞详情----结束密码设置建议l使用复杂度高的密码.
建议密码复杂度至少满足如下要求:漏洞扫描服务最佳实践2检测企业弱密码文档版本01(2018-07-05)华为专有和保密信息版权所有华为技术有限公司5a.
密码长度至少8个字符.
b.
包含如下至少三种组合:i.
大写字母(A~Z)ii.
小写字母(a~z)iii.
数字(0~9)iv.
特殊字符(和空格)c.
密码不为用户名或用户名的倒序l不使用如下常见弱口令:–生日、姓名、身份证、手机号、邮箱名、用户ID、时间年份–数字或字母连排或混排,键盘字母连排(如:123456,abcdef,123abc,qwerty,1qaz2wsx等)–短语密码(如:5201314,woaini1314等)–公司名称、admin、root等常用词汇l不使用空密码或系统的缺省密码l不同网站/账号使用不同的密码l定期修改密码漏洞扫描服务最佳实践2检测企业弱密码文档版本01(2018-07-05)华为专有和保密信息版权所有华为技术有限公司6

易探云韩国云服务器仅50元/月,510元/年起

韩国云服务器哪个好?韩国云服务器好用吗?韩国是距离我国很近的一个国家,很多站长用户在考虑国外云服务器时,也会将韩国云服务器列入其中。绝大部分用户都是接触的免备案香港和美国居多,在加上服务器确实不错,所以形成了习惯性依赖。但也有不少用户开始寻找其它的海外免备案云服务器,比如韩国云服务器。下面云服务器网(yuntue.com)就推荐最好用的韩国cn2云服务器,韩国CN2云服务器租用推荐。为什么推荐租用...

新网,域名7月盛夏1核心2G内存.COM域名仅19.9元/首年,主机9.9元/月,企业邮箱0元体验

新网好不好?新网域名便宜吗?新网怎么样?新网是国内老牌知名域名注册商,企业正规化运营,资质齐全,与阿里云万网和腾讯云DNSPOD同为国内服务商巨头。近日新网发布了最新的七月放价季优惠活动,主要针对域名、云主机、企业邮箱、SSL证书等多款云产品推送了超值的优惠,其中.com顶级域名仅19.9元/首年,.cn域名仅16元/首年,云主机1核心2G内存3Mbps带宽仅9.9元/月,企业邮箱更是免费送1年,...

Virmach($5.23/年)年付VPS闪购

每每进入第四季度,我们就可以看到各大云服务商的促销力度是一年中最大的。一来是年底的促销节日活动比较多,二来是商家希望最后一个季度冲刺业绩。这不还没有到第四季度,我们看到有些商家已经蠢蠢欲动的开始筹备活动。比如素有低价VPS收割机之称的Virmach商家居然还没有到黑色星期五就有发布黑五促销活动。Virmach 商家有十多个数据中心,价格是便宜的,但是机器稳定性和速度肯定我们也是有数的,要不这么低的...

如何扫描网站漏洞为你推荐
phpweb破解wifi破解黑科技filezillaserver如何使用filezilla server360邮箱360免费申请邮箱在那里360公司迁至天津奇虎360公司在哪?资费标准中国移动38元套餐介绍客服电话中国移动的人工服务电话号码是多少中国保健养猪网中央7台致富经养猪123456hd手机卡上出现符号hd怎么取消配送区域配送中心各功能区域的划分对配送作业流程有什么影响.netcmscms是什么,常见的cms程序有哪些
cc域名 中国十大域名注册商 google电话 阿里云os liquidweb singlehop oneasiahost vultr美国与日本 win8.1企业版升级win10 地址大全 最好的免费空间 idc是什么 web服务器安全 空间首页登陆 防cc攻击 双线空间 主机返佣 数据湾 葫芦机 reboot 更多