漏洞扫描服务支持 web_CMS 漏洞吗？

VSS暂不支持web_CMS漏洞扫描功能。

● “快速扫描”：扫描的网站URL数量有限且VSS会开启耗时较短的扫描插件进行扫描。

● “深度扫描”：扫描的网站URL数量不限且VSS会开启所有的扫描插件进行耗时较长的遍历扫描。

● “标准扫描”：扫描的网站URL数量和耗时都介于“快速扫描”和“深度扫描”

两者之间。

有些接口只能在登录后才能访问，建议用户配置对应接口的用户名和密码，VSS才能进行深度扫描。

2.20 已添加的域名是否可以删除？

可以删除，但域名删除后，该资产的历史扫描数据将被删除，不可恢复。

2.21 如何查看漏洞扫描服务扫描出的网站结构？

执行完漏洞扫描任务后，进入“总览”页面，在“最近扫描任务列表”中，单击目标扫描对象，进入任务详情页面，单击“站点结构”页签，查看网站结构。

说明

站点结构展示的是任务扫描出的漏洞对应的网页地址及整体结构，如果任务暂未扫描出漏洞，站点结构无数据显示。

图2-12 站点结构

2.22 如何获取网站 cookie 值？

如果您的网站除了需要账号密码登录，还有其他的访问机制（例如，需要输入动态验证码），则建议您设置cookie登录方式进行网站漏洞扫描，以便VSS能为您发现更多安全问题。

设置cookie登录方式时需要输入网站的cookie值。

须知

获取cookie值后，在创建扫描任务时，请您保持网站的登录状态，以免cookie失效。

以Google Chrome浏览器为例说明，获取网站（例如，www.example.com）的cookie 值的步骤如下：

步骤1 打开Google Chrome浏览器。

步骤2 按“F12”，进入浏览器的开发者模式。

步骤3 在地址栏中输入目标网站地址“www.example.com”。

步骤4 在调试页面中，选择“Network > XHR” ，如图2-13所示。

图2-13 Network 页面

步骤5 在左侧导航树中，选择一个http请求。

步骤6 在“Headers”页面的“Request Headers”区域框，获取当前网站页面的“Cookie”

字段值，如图2-14所示。

图2-14 获取 cookie 值

----结束

2.23 网站 cookie 值发生变化时，如何进行网站漏洞扫描？

● 有关设置网站cookie登录方式的详细操作，请参见网站登录设置。

VSS采用网页爬虫的方式全面深入的爬取网站url，然后针对爬取出来的页面模拟黑客进行试探攻击，帮助您发现网站潜在的安全隐患。如果域名下的项目没有被VSS爬取出来，则该项目不会被VSS扫描到。您可以通过网站扫描详情，查看域名下的项目是否被 VSS扫描到。

有关查看网站扫描详情的操作，请参见查看网站扫描详情。

2.26 如何扫描弱密码？

VSS不支持对弱密码单独进行扫描。您可以通过查看网站扫描详情，了解弱密码的扫描情况。

有关查看网站扫描详情的操作，请参见查看网站扫描详情。

2.27 网站扫描是否可以加/web 访问？

可以。创建扫描任务页面，填写目标网址时可以加上网页路径。

例如：目标网址是“https://www.example.com”，扫描的网址加上具体的网页路径后“https://www.example.com/login.php”。

2.28 可以扫描产品上线前的局域网站点吗？

当VSS扫描完成后，您没有及时处理发现的漏洞。若您再次开始扫描，扫描完成后，漏洞列表中会展示该漏洞，且发现时间为初次发现该漏洞的时间，如图2-15所示。

您可以在“历史扫描报告”下拉列表中，选择与该漏洞“发现时间”相同日期的扫描任务，并在该扫描任务的“漏洞列表”中查询到该漏洞。

图2-15 漏洞列表

2.31 使用了 Web 应用防火墙，对网站扫描时 SSL/TLS 存在 bar mitzvah attack 漏洞？

使用了Web应用防火墙（WAF）对网站扫描时SSL/TLS存在bar mitzvah attack漏洞，

需要设置TLS配置。

步骤1 登录Web应用防火墙控制台。

步骤2 进入网站设置页面入口。

步骤3 在目标网站所在行的“防护网站”列中，单击目标网站，进入网站基本信息页面。

步骤4 在“TLS配置”所在行，单击修改TLS配置。

步骤5 选择“TLS v1.2”和“加密套件2”，加密算法为EECDH+AESGCM:EDH+AESGCM。

图2-16 TLS 配置

步骤6 单击“确定”。

2.32 专业版是否支持一级域名的扫描？

专业版限制一个二级域名扫描，兼容用户把一级域名当做二级域名来使用的场景，这时添加一级域名，配额仍然算作二级域名的，即不能再新加二级域名了。例如用户买了专业版一个配额，可以添加example.com一级域名进行扫描，也算作二级域名的配额，如果想添加www.example.com就必须增加购买配额了。

2.33 如何修复 TLS 弱加密套件？

基本概念

加密套件是TLS/SSL协议中的一个概念，是指服务器和客户端所使用的加密算法组合。

在TLS握手阶段，客户端将自身支持的加密套件列表告诉服务器，服务器根据自己支持的所有套件中选择一个作为之后所使用的加密方式。这些算法包括密钥交换算法、批量加密算法和消息认证码（MAC）算法，组合起来有数百种不同的密码套件。这些密码套件中有的安全性较差，称为弱加密套件，例如：

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256。

安全标准与兼容性

什么加密套件会被判定为弱加密套件，不同标准有着不同的判定方案，如PCI DSS的FS 要求。不同厂商也会根据自身业务规定不同标准，如VSS就参考了《华为密码算法应用规范》来判定弱加密套件。

业务需要根据自身实际情况来调整加密套件，例如某些业务（如电商网站）为了追求最大兼容性也会舍弃一定的安全性、华为云WAF也为不同用户提供了多套加密套件的组合。

修复

在 TLS/SSL配置项中去除VSS扫描出的弱加密套件(详细请参见扫描报告漏洞信息“响应详情”中的内容)。

当用户判断弱加密套件为业务需要且风险可控时，则可忽略该漏洞。

配置修改方法

通常Web应用的TLS/SSL协议由Web容器配置（常见的Tomcat/Nginx/Apache），或者通过云服务供应商提供的服务配置（WAF/Https）。开发人员需要根据自身业务情况确认配置位置，并了解TLS/SSL相关配置项。常见的参考：

● Apache Tomcat 8 (8.5.73) - SSL/TLS Configuration How-To

● SSL/TLS Strong Encryption: How-To - Apache HTTP Server Version 2.4

● Nginx Configuring HTTPS servers

也可以参考Mozilla SSL Configuration Generator自动生成的TLS/SSL配置来修改。

修复验证

用户可以自行通过在线检测网站或开源工具验证（搜索引擎搜索SSL检测）。

3 ^{主机扫描类}

3.1 VSS 的主机扫描 IP 有哪些？

如果设置了访问限制，请添加策略允许VSS的IP地址可以访问您的主机。如果您使用了主机安全防护软件，请将VSS访问主机的IP地址添加到该软件的白名单中，以免该软件拦截了VSS访问用户主机的IP地址。

119.3.232.114，119.3.237.223，124.70.102.147，121.36.13.144，124.70.109.117，

139.9.114.20，119.3.176.1

3.2 为什么主机添加成功后不能在主机列表中查找到？

由于VSS系统处理任务需要一段时间，因此主机添加成功后您不能在主机列表中马上查找到该添加的主机。请您等待一段时间，刷新主机列表再查找添加的主机。

3.3 主机扫描支持哪些区域？

目前，主机扫描支持的区域如下：

● 华北-北京一

● 华北-北京四

● 华南-广州

● 华东-上海一

● 华东-上海二

● 西南-贵阳一

● 华南-深圳

3.4 如何对主机进行授权？

详细请参考配置Linux主机授权。

3.5 为什么在扫描时会提示授权委托失败？

授权委托失败可以根据以下方法进行排查与解决。

● 使用子账号进行扫描

如果您登录华为云使用的是子账号，请确保该子账号所在的用户组拥有Agent Operator和Security Administrator这两个权限，否则扫描时会提示委托授权失败。

● 使用企业账号（主账号进行扫描）（推荐）

如果用户使用的是主账号扫描还是提示委托失败，可能是因为委托数量到达了上限。

查询委托数量是否达到上限：

a. 将鼠标移动至用户名，单击“统一身份认证”，如图3-1所示，进入“用户”

页面。

图3-1 统一身份认证

b. 单击“委托”，进入“委托”页面查看委托数量，如图3-2所示，最多可委托 10个。

图3-2 委托数量

1. 安全组和网络ACL访问限制。

2. 网络故障。

如果是网络故障的原因导致主机不能访问，请在网络恢复后重新进行主机扫描，如果是因为安全组和网络ACL访问限制导致的主机不能访问，请您将以下VSS的扫描IP添加至主机访问的白名单中：

119.3.232.114，119.3.237.223，124.70.102.147，121.36.13.144，124.70.109.117，

139.9.114.20，119.3.176.1

3.7 主机扫描为什么会扫描失败？

问添加策略允许VSS的IP网段访问您的主机。

– 主机IP被当成不信任IP被主机安全服务拦截，请参见解除拦截受信任的IP解除主机IP封禁，并参见配置SSH登录IP白名单将您的主机IP配置为白名单。

3.8 主机扫描支持非华为云主机吗？

支持，但目前仅支持linux主机。

3.9 漏洞扫描服务支持哪些操作系统的主机扫描？

漏洞扫描服务支持扫描的主机操作系统版本如下：

支持的Linux操作系统版本，如表3-1所示。

表3-1 Linux 操作系统版本 分类支持的OS类型

EulerOS EulerOS 2.2, 2.3 and 2.5 64bit

CentOS CentOS 6.5, 6.8, 6.9, 6.10, 7.1, 7.2, 7.3, 7.4, 7.5, 7.6, 7.7, 7.8 and 7.9 (64 bit)

RedHat Red Hat Enterprise Linux 6.10 and 7.5 64bit Ubuntu Ubuntu 16.04 and 18.04 server 64bit

SUSE SUSE Enterprise 11 SP4 64bit, SUSE Enterprise 12 SP1/SP2/SP3/SP4 64bit, SUSE Enterprise 15 SP1/SP2 64bit

OpenSUS

E OpenSUSE 13.2 and 42.2 64bit

分类支持的OS类型

Debian Debian 8.2.0, 8.8.0, 9.0.0, 10.0.0 64bit

3.10 如何修复扫描出来的主机漏洞？

– EulerOS：支持的最低系统版本为EulerOS 2.2。

– CentOS：支持的最低系统版本为CentOS 6.5。

– RedHat：支持的最低系统版本为Red Hat Enterprise Linux 6.10。

– Ubuntu：支持的最低系统版本为Ubuntu 16.04 server。

– SUSE：支持的最低系统版本为SUSE Enterprise 11 SP4。

– OpenSUSE：支持的最低系统版本为OpenSUSE 13.2。

– Debian：支持的最低系统版本为Debian 8.2.0。

有关物理服务器使用VSS的详细介绍，请参见物理服务器可以使用漏洞扫描服务吗？。

3.12 物理服务器可以使用漏洞扫描服务吗？

当您的物理服务器为Linux操作系统，且满足以下版本要求时，如果您的物理服务器可以远程登录，则可以通过添加跳板机的方式使用漏洞扫描服务。

● EulerOS：支持的最低系统版本为EulerOS 2.2。

● CentOS：支持的最低系统版本为CentOS 6.5。

● RedHat：支持的最低系统版本为Red Hat Enterprise Linux 6.10。

● Ubuntu：支持的最低系统版本为Ubuntu 16.04 server。

● SUSE：支持的最低系统版本为SUSE Enterprise 11 SP4。

● OpenSUSE：支持的最低系统版本为OpenSUSE 13.2。

● Debian：支持的最低系统版本为Debian 8.2.0。

操作步骤

IP地址添加主机的公网IP地址。 192.168.2.3

是否使用跳板机选择“是”。是

跳板机可在下拉框中选择已有跳板机，或

者单击“新增跳板机”，添加跳板机。

-步骤6 新增跳板机。

1. 单击“新增跳板机”。

2. 在弹出的对话框中，设置跳板机参数，如图3-5所示，相关参数说明如表3-3所示。

图3-5 添加跳板机

表3-3 跳板机配置参数说明

参数名称参数说明

主机名称添加的跳板机的主机名称。

公网IP 添加的跳板机的公网IP。

登录端口添加的跳板机的登录端口。

选择登录方式 “密码登录”和“密钥登录”。

– 选择密码登录时，需要添加跳板机的用户名和密码。

– 选择密钥登录时，需要添加跳板机的用户名、私钥和私钥密码。