开通漏洞扫描服务后,您首先需要将网站资产以IP或域名的形式添加到漏洞扫描服务 中并完成域名认证,才能进行漏洞扫描。
如果您的网站中存在需要登录才能访问的网页,还需要配置网站登录信息(“账号密 码登录”和“cookie登录”两种登录方式),VSS才能为您更好的检测网站安全问题。
说明
如果您在添加域名时,提示“当前套餐可新增域名已达到上限”,无法添加域名时,可参照以下 方法进行处理:
● 参照域名配额扩容进行域名配额扩容,购买“扫描配额包”,“扫描配额包”必须大于当前 版本已有的配额。
● 如果您的资产列表有不需要防护的域名,建议删除后再添加新的域名。
前提条件
已获取管理控制台的登录帐号与密码。
操作步骤
步骤1 登录管理控制台。
步骤2 在左侧导航树中,单击 ,选择“安全与合规 > 漏洞扫描服务”,进入漏洞扫描服 务页面。
步骤3 在“资产列表 > 网站”页签,单击“新增域名”。
步骤4 进入添加域名入口,如图3-1所示。
图3-1 进入添加域名入口
说明
在列表的上方,可以查看可添加域名的个数。
步骤5 在弹出的对话框中,添加“域名/IP地址”,设置“域名别称”,如图3-2所示。
域名别称:帮助用户识别自己的域名地址,您可以填写任意方便您识别网站域名的名 称。
须知
VSS是通过公网访问域名/IP地址进行扫描的,请确保该目标域名/IP地址能通过公网正 常访问。
图3-2 新增域名
步骤6 单击“确认”,进行域名所有权认证。
说明
● 如果暂时不进行域名所有权认证,可关闭对话框,后续参照域名认证章节完成域名认证。
● 如果待检测站点的服务器搭建在华为云上,且该服务器是您当前登录帐号的资产,才可以选 择“一键认证”的方式进行快速认证,否则只能选择“文件认证”的方式进行认证。
● 文件认证,参照图3-3中的验证步骤完成域名认证。
图3-3 文件认证方式
● 一键认证,如图3-4所示。
● VSS提供了“账号密码登录”和“cookie登录”两种登录方式,为了提高登录成功率,建议 您配置两种登录方式。
图3-5 网站登录设置
表3-1 网站登录页面参数说明
参数名称 参数说明 样例
“登录方式一:账号密码登录”
登录页面 网站登录页面的地址。 https://
auth.example.com/
用户名 登录网站的用户名。 vsstest
密码 对应用户名的密码。
--确认密码 再次输入用户名的密码。
--“登录方式二:cookie登录”
如果网站登录需要动态验证码才能登录成功,此时必须配置“cookie登录”方式。
cookie值 输入登录网站的cookie
值。 domain_tag
“网站登录验证”
验证登录网址 登录成功后才能访问的网 址,便于VSS快速判断您 的登录信息是否有效。
https://
console.example.com/
步骤8 阅读《华为云漏洞扫描服务声明》后,勾选“我已阅读并同意《华为云漏洞扫描服务
121.36.16.183,121.36.20.138,121.36.31.222