漏洞扫描服务最佳实践文档版本01发布日期2018-07-05华为技术有限公司版权所有华为技术有限公司2018.
保留一切权利.
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播.
商标声明和其他华为商标均为华为技术有限公司的商标.
本文档提及的其他所有商标或注册商标,由各自的所有人拥有.
注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内.
除非合同另有约定,华为公司对本文档内容不做任何明示或默示的声明或保证.
由于产品版本升级或其他原因,本文档内容会不定期进行更新.
除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保.
华为技术有限公司地址:深圳市龙岗区坂田华为总部办公楼邮编:518129网址:http://e.
huawei.
com文档版本01(2018-07-05)华为专有和保密信息版权所有华为技术有限公司i目录1一键检测最新CVE漏洞.
12检测企业弱密码.
3漏洞扫描服务最佳实践目录文档版本01(2018-07-05)华为专有和保密信息版权所有华为技术有限公司ii1一键检测最新CVE漏洞本章节指导您当业界有新漏洞爆发时,如何快速检测您的网站是否存在该漏洞.
漏洞的危害如今互联网安全局势险峻,每天都会爆发大量的漏洞,其中不泛远程代码执行、远程溢出等高风险漏洞.
黑客会利用漏洞爆发到漏洞修复的这段时间,对用户的网站进行攻击,从而控制网站,窃取机密数据.
CVE漏洞一键检测功能介绍当业界爆发新漏洞时,华为云漏洞扫描服务提供的CVE漏洞一键检测功能,可以帮助用户快速进行漏洞检测,及时发现该漏洞,降低该漏洞被黑客利用的风险.
说明华为云漏洞扫描服务支持OWASPTOP10和WASC的漏洞检测能力,可以对网站进行更全面的扫描,详细操作请参见网站漏洞扫描和主机漏洞扫描.
如何快速检测最新CVE漏洞以下以检测业界最近爆发的漏洞"CVE-2018-1273SpringDataCommons远程命令执行漏洞"为例说明如何使用CVE漏洞一键检测功能.
步骤1登录管理控制台.
步骤2选择"安全>漏洞扫描服务>总览",进入"总览"界面.
步骤3单击"CVE-2018-1273SpringDataCommons"右侧的"一键检测",如图1-1所示.
图1-1一键检测步骤4在弹出的"一键检测最新紧急漏洞风险"窗口中,输入需要检测的域名或IP地址后,单击"快速检测".
漏洞扫描服务最佳实践1一键检测最新CVE漏洞文档版本01(2018-07-05)华为专有和保密信息版权所有华为技术有限公司1用户可以在该界面看到漏洞影响的范围以及修复方案.
图1-2一键检测最新紧急漏洞风险步骤5检测完成后,查看检测结果.
"危险"表示您的网站存在"CVE-2018-1273SpringDataCommons远程命令执行漏洞".
请根据修复建议进行修复,例如:对SpringDtataCommons组件版本进行升级.
图1-3检测结果(危险)----结束漏洞扫描服务最佳实践1一键检测最新CVE漏洞文档版本01(2018-07-05)华为专有和保密信息版权所有华为技术有限公司22检测企业弱密码什么是弱密码弱密码(弱口令),指比较容易被人猜解或破解的密码,例如"123456"、"abc123"、"Huawei@123"等.
弱密码的危害弱密码不归属于某一类漏洞,但其带来的安全隐患却不亚于任何一类漏洞.
数据、程序都储存在系统中,若密码被破解,系统中的数据和程序将毫无安全可言.
l案例一:2015年12月份,某省大量政府官网,因网站系统管理员未修改缺省密码"admin88",导致近一半的网站被黑客入侵,管理员头像遭篡改,并以管理员身份发表测试文章.
l案例二:2016年1月份,某省省级管理网站,因某管理员使用了弱密码"123456",导致该管理人员所在组织内部人员的个人信息全部泄露.
一旦黑客利用网站其他漏洞,将导致全网站组织成员的身份证号、联系方式、家庭住址等信息全部泄露.
如何检测弱密码华为云提供的漏洞扫描服务(VulnerabilityScanService,简称VSS)支持高危端口和弱密码扫描功能,可以针对常见开放的端口进行扫描,并识别出端口上运行的服务,对这些服务进行弱密码检测.
步骤1购买漏洞扫描服务专业版.
步骤2创建扫描任务.
1.
登录管理控制台.
2.
选择"安全>漏洞扫描服务>任务列表",进入"资产列表"界面.
3.
单击"立即扫描",进入"创建任务"界面.
4.
填写扫描信息.
5.
展开"高级扫描设置",在"更多扫描设置"栏目下,打开"端口扫描"和"弱密码扫描"的开关,如图2-1所示.
漏洞扫描服务最佳实践2检测企业弱密码文档版本01(2018-07-05)华为专有和保密信息版权所有华为技术有限公司3图2-1扫描设置说明–漏洞扫描服务提供以下三种"扫描模式":n快速扫描:扫描耗时最少,能检测到的漏洞相对较少.
n标准扫描:扫描耗时适中,能检测到的漏洞相对较多.
n深度扫描:扫描耗时最长,能检测到最深处的漏洞.
–"扫描完毕接收通知":开启后,在任务完成时,用户会收到短信通知.
6.
单击"开始扫描".
步骤3查看扫描结果.
1.
当扫描任务的状态为"已完成"时,单击任务名称.
2.
在任务详情的"漏洞列表"中可以看到发现的弱密码.
图2-2扫描结果3.
单击漏洞ID,可以查看该弱密码详情.
用户可以根据扫描结果,对服务的密码进行修改,增强密码安全强度.
修改完成后可以再次进行弱密码扫描来验证修改效果.
漏洞扫描服务最佳实践2检测企业弱密码文档版本01(2018-07-05)华为专有和保密信息版权所有华为技术有限公司4图2-3漏洞详情----结束密码设置建议l使用复杂度高的密码.
建议密码复杂度至少满足如下要求:漏洞扫描服务最佳实践2检测企业弱密码文档版本01(2018-07-05)华为专有和保密信息版权所有华为技术有限公司5a.
密码长度至少8个字符.
b.
包含如下至少三种组合:i.
大写字母(A~Z)ii.
小写字母(a~z)iii.
数字(0~9)iv.
特殊字符(和空格)c.
密码不为用户名或用户名的倒序l不使用如下常见弱口令:–生日、姓名、身份证、手机号、邮箱名、用户ID、时间年份–数字或字母连排或混排,键盘字母连排(如:123456,abcdef,123abc,qwerty,1qaz2wsx等)–短语密码(如:5201314,woaini1314等)–公司名称、admin、root等常用词汇l不使用空密码或系统的缺省密码l不同网站/账号使用不同的密码l定期修改密码漏洞扫描服务最佳实践2检测企业弱密码文档版本01(2018-07-05)华为专有和保密信息版权所有华为技术有限公司6
Hostkey.com成立于2007年的荷兰公司,主要运营服务器出租与托管,其次是VPS、域名、域名证书,各种软件授权等。hostkey当前运作荷兰阿姆斯特丹、俄罗斯莫斯科、美国纽约等数据中心。支持Paypal,信用卡,Webmoney,以及支付宝等付款方式。禁止VPN,代理,Tor,网络诈骗,儿童色情,Spam,网络扫描,俄罗斯色情,俄罗斯电影,俄罗斯MP3,俄罗斯Trackers,以及俄罗斯法...
melbicom从2015年就开始运作了,在国内也是有一定的粉丝群,站长最早是从2017年开始介绍melbicom。上一次测评melbicom是在2018年,由于期间有不少人持续关注这个品牌,而且站长貌似也听说过路由什么的有变动的迹象。为此,今天重新对莫斯科数据中心的VPS进行一次简单测评,数据仅供参考。官方网站: https://melbicom.net比特币、信用卡、PayPal、支付宝、银联...
我们一般的站长或者企业服务器配置WEB环境会用到免费版本的宝塔面板。但是如果我们需要较多的付费插件扩展,或者是有需要企业功能应用的,短期来说我们可能选择按件按月付费的比较好,但是如果我们长期使用的话,有些网友认为选择宝塔面板企业版或者专业版是比较划算的。这样在年中大促618的时候,我们也可以看到宝塔面板也有发布促销活动。企业版年付899元,专业版永久授权1888元起步。对于有需要的网友来说,还是值...
如何扫描网站漏洞为你推荐
centos6.5centos 6.5服务器基本配置有哪些企业ssl证书公司购买SSL证书需要提交什么资料?一般要多久才能拿到证书360和搜狗360浏览器和搜狗浏览器哪个好用?outlookexpress如何开启OUTLOOK EXPRESS功能?163yeah163,126,yeah哪个更好啊,各有什么特点啊360防火墙在哪里电脑或电脑360有联网防火墙吗,在哪里设置计算机cuteftp开放平台众安开放平台是干什么的?上面的众推广是什么?curl扩展系统不支持CURL 怎么解决如何发帖子请问在网上发帖子怎么发?
域名抢注 主机评测 特价空间 NetSpeeder 坐公交投2700元 空间出租 域名转向 jsp空间 adroit 绍兴电信 美国独立日 网页提速 lick 国外在线代理服务器 酸酸乳 电信宽带测速软件 江苏双线 alexa搜 nic 德国代理 更多