如何下载网站扫描报告？_漏洞扫描服务 VSS_常见问题_报告类_华为云

(1)

常见问题

文档版本 01

发布日期 2022-02-09

(2)

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明

和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意

您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或暗示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

(3)

1 ^{产品咨询类}

1.1 什么是区域和可用区？

什么是区域、可用区？

我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。

● 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的 Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用 Region。

● 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，

有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。

一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。

图1-1阐明了区域和可用区之间的关系。

图1-1 区域和可用区

(7)

如何选择区域？

选择区域时，您需要考虑以下几个因素：

● 地理位置

一般情况下，建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。不过，在基础设施、BGP网络品质、资源的操作与配置等方面，中国大陆各个区域间区别不大，如果您或者您的目标用户在中国大陆，可以不用考虑不同区域造成的网络时延问题。

– 在除中国大陆以外的亚太地区有业务的用户，可以选择“中国-香港”、“亚太-曼谷”或“亚太-新加坡”区域。

– 在非洲地区有业务的用户，可以选择“南非-约翰内斯堡”区域。

– 在欧洲地区有业务的用户，可以选择“欧洲-巴黎”区域。

● 资源的价格

不同区域的资源价格可能有差异，请参见华为云服务价格详情。

如何选择可用区？

是否将资源放在同一可用区内，主要取决于您对容灾能力和网络时延的要求。

● 如果您的应用需要较高的容灾能力，建议您将资源部署在同一区域的不同可用区内。

● 如果您的应用要求实例之间的网络延时较低，则建议您将资源创建在同一可用区内。

区域和终端节点

当您通过API使用资源时，您必须指定其区域终端节点。有关华为云的区域和终端节点的更多信息，请参阅地区和终端节点。

1.2 漏洞扫描服务的扫描 IP 有哪些？

如果您的网站设置了防火墙或其他安全策略，将导致VSS的扫描IP被当成恶意攻击者而误拦截。因此，在使用VSS前，请您将以下VSS的扫描IP添加至网站访问的白名单中：

119.3.232.114，119.3.237.223，124.70.102.147，121.36.13.144，124.70.109.117，

139.9.114.20，119.3.176.1

1.3 漏洞扫描服务可以免费使用吗？

漏洞扫描服务提供了基础版、专业版、高级版和企业版四种服务版本。其中，基础版配额内的服务免费，部分功能按需计费；专业版、高级版和企业版需要收费。

基础版配额内提供的网站漏洞扫描服务（域名个数：5个，扫描次数：每日5次）是免费的。

有关VSS收费的详细介绍，请参见漏洞扫描服务如何收费？。

(8)

1.4 扫描任务有哪些状态？

扫描任务的状态如表1-1所示。

表1-1 扫描任务状态

状态含义

已完成扫描完成。

进行中正在进行扫描。

等待中任务正在等待执行。说明

如果没有设置开始扫描时间，且此时服务器没有被占用，则创建的任务可立即开始扫描，任务状态为“进行中”；否则进入等待队列中等待，任务状态为“等待中”。

已取消任务被取消。

说明

任务在“进行中”或“等待中”才可以被取消。

任务可能经历的状态历程。

● 等待中→进行中→已完成

● 等待中→已取消

● 等待中→进行中→已取消

1.5 漏洞扫描服务到期后还能继续使用吗？

漏洞扫描服务到期后，可以继续使用基础版的所有功能。

1.6 扫描任务的得分是如何计算的？

扫描任务被创建后，初始得分是一百分，任务扫描完成后，根据扫描出的漏洞级别会扣除相应的分数。

网站扫描：高危减10分，中危减5分，低危减3分，无漏洞则不扣分。

说明

● 得分越高，表示漏洞数量越少，网站越安全。

● 如果得分偏低，请根据实际情况对漏洞进行忽略标记，或根据修复建议修复漏洞，或使用 Web应用防火墙服务为您的网站保驾护航。

● 漏洞修复后，建议重新扫描一次查看修复效果。

(9)

1.7 按需计费扫描失败怎么办？

用户选择“按需计费”的方式，在进行扫描时，如果扫描任务失败，不会扣费。在解决失败问题后，如配置网站WAF白名单、修改扫描配置等，用户可以重新发起按需扫描，扫描成功后才会扣费。

1.8 为什么购买漏洞扫描服务失败了？

购买失败，可能是权限不足，请检查用户权限。

用户需要拥有te_admin、bss_adm、bss_pay或bss_ops权限才能购买漏洞扫描服务。

如需开通该权限，请联系拥有Tenant Administrator权限的用户，开通权限，详细内容请参见《统一身份认证服务用户指南》。

1.9 漏洞扫描服务能修复扫描出来的漏洞吗？

不能。漏洞扫描服务是一款漏洞扫描工具，能为您发现您的资产存在的漏洞，不能进行资产漏洞修复，但漏洞扫描服务会为您提供详细的扫描结果以及修复建议，请您自行选择修复方法进行修复。

1.10 漏洞扫描服务和传统的漏洞扫描器有什么区别？

VSS和传统的漏洞扫描器的区别如表1-2所示。

表1-2 VSS 和传统的漏洞扫描器的区别

对比项传统的漏洞扫描器 VSS

使用方法使用前需要安装客户端。不需要安装客户端，在管理控制台创建任务（输入域名或IP地址）就可以进行漏洞扫描，节约运维成本。

更新漏洞库方式

手动更新漏洞库，更新不及时。

云端同步更新漏洞库，涵盖最新漏洞，可以及时检测用户的网站是否有最新爆发的漏洞威胁。

1.11 漏洞扫描服务支持扫描哪些漏洞？

漏洞扫描服务支持扫描的漏洞有：

● 弱口令检测

SSH、FTP、RDP、SMB、MYSQL、MSSQL、MongoDB、Redis、Oracle、

DB2、GaussDB、Postgres、Telnet。

● 前端漏洞

SQL注入、XSS、CSRF、URL跳转等。

(10)

● 信息泄露

端口暴露，目录遍历，备份文件，不安全文件，不安全HTTP方法，不安全端口。

● Web注入漏洞

命令注入，代码注入，XPATH注入，SSRF注入，反序列化等注入漏洞。

● 文件包含漏洞

任意文件读取、任意文件包含、任意文件上传、XXE。

1.12 如何查看漏洞修复建议？

网站扫描查看漏洞修复建议的方法。

步骤1 登录管理控制台。

步骤2 在左侧导航树中，单击，选择“安全与合规 > 漏洞扫描服务”，进入漏洞扫描服务页面。

步骤3 在“资产列表 > 网站”页签，进入网站列表入口，如图1-2所示。

图1-2 进入网站列表入口

步骤4 查看网站资产列表，相关参数说明如表1-3所示。

表1-3 网站资产列表参数说明

参数参数说明

域名信息 ● 域名/IP地址

● 域名别称认证状态 ● “已认证”

目标域名已完成域名认证。

● “未认证”

目标域名未完成域名认证。单击“去认证”进行域名认证。

● “证书失效”

如果证书失效，请重新下载证书文件并完成域名认证。

上次扫描时间

域名最近一次扫描任务的时间。

(11)

步骤5 在目标域名所在行的“上一次扫描结果”列，单击分数或者“查看详情”，查看扫描任务详情。

步骤6 选择“漏洞列表”页签，查看漏洞信息，如图1-3所示。

图1-3 漏洞列表

步骤7 单击漏洞名称，查看相应漏洞的“漏洞详情”、“漏洞简介”、“修复建议”，如图 1-4所示，用户可以根据修复建议修复漏洞。

图1-4 网站漏洞详情

----结束

1.13 漏洞扫描服务可以跨区域使用吗？

漏洞扫描服务是全局服务，不区分区域（Region），因此可以跨区域使用。

(12)

1.14 漏洞扫描服务支持跨云扫描吗？

支持，VSS是通过公网访问域名/IP地址进行扫描的，只要确保该目标域名/IP地址能通过公网正常访问，VSS就可以进行跨云扫描。

1.15 漏洞扫描服务支持多个帐号共享使用吗？

VSS支持多个帐号或多个IAM用户共享使用，说明如下：

● 多个帐号共享使用

例如，您通过注册华为云创建了2个帐号（“domain1”和“domain2”），如果您将“domain1”的权限委托给“domain2”，则“domain2”可以使用

“domain1”的VSS。

有关委托管理的详细操作，请参见创建委托。

● 多个IAM用户共享使用

例如，您通过注册华为云创建了1个帐号（“domain1”），且由“domain1”帐号在IAM中创建了2个IAM用户（“sub-user1a”和“sub-user1b”），如果您授权了“sub-user1b”用户VSS的权限策略，则“sub-user1b”用户可以使用“sub- user1a”用户的VSS。

有关VSS权限管理的详细操作，请参见创建用户并授权使用VSS。

1.16 单次扫描是否提供扫描报告和修复建议？

基础版VSS提供以下单次扫描功能：将扫描任务升级为专业版规格进行扫描。扫描开始后进行一次性扣费。

单次扫描成功后，您可以查看修复建议并下载扫描报告。

● 有关查看修复建议的详细操作，请参见如何查看漏洞修复建议？。

● 有关下载扫描报告的详细操作，请参见如何下载网站扫描报告？。

1.17 漏洞扫描服务可以对网站文字和图片改变进行检测吗？

VSS支持对网页的内容合规进行检测，不支持对网站文字和图片改变进行检测。

1.18 使用漏洞扫描服务前需要备份数据吗？

不需要。VSS是无侵入式的服务，不需要备份数据。

1.19 漏洞扫描服务如何判定 SQL 注入风险？

(13)

1.20 漏洞扫描服务支持扫描 SQL 注入吗？

VSS支持扫描前端漏洞（SQL注入、XSS、CSRF、URL跳转等）。

1.21 Apache Log4j2 漏洞检测相关问题

1. 网站漏洞扫描和主机扫描是否支持Apache Log4j2漏洞检测？检测原理有何不同？

答：网站漏洞扫描和主机扫描支持Apache Log4j2漏洞检测，但检测原理不同。网站漏洞扫描的检测原理是基于漏洞POC验证，如果没有攻击入口或路径，或已经开启了Web应用防火墙等防护措施，则无法扫出来；主机扫描的检测原理是登录操作系统之后探测JAR包版本，匹配是否在受影响的版本范围之内，相对高效。

建议有条件的话，使用网站漏洞扫描和主机扫描远程扫描，若发现问题请尽快按处置办法进行操作。

2. Apache Log4j2漏洞之前能扫出来，后来扫不出来，不稳定是什么原因？

答：只要扫出来过Apache Log4j2漏洞，建议马上排查相应网站或主机，尽快按处置办法进行操作。

后面扫不出来的原因，可能是网站已修复，或已通过Web应用防火墙等防护措施解决，另外由于该漏洞POC验证相对复杂，涉及较多网络交互，网络环境因素如安全组策略加固等变动，也可能导致漏洞不能稳定扫出来，但建议客户还是尽快排查处置，彻底规避风险。

3. 哪些版本支持Apache Log4j2漏洞检测？

答：当前包括基础版（可免费开通）在内的所有版本均支持，但由于基础版规格有较多限制，如不支持主机漏洞扫描、Web漏洞扫描的扫描时长和次数受限，可能存在扫描不全面的问题。建议有条件的话，根据业务需求购买专业版及以上版本进行全面扫描。

不同版本规格说明请参见服务版本。

1.22 VSS 与 HSS、WAF 有什么区别？

VSS支持主机和Web漏洞扫描，从攻击者的视角扫描漏洞，提供详细的漏洞分析报告，

并针对不同类型的漏洞提供专业可靠的修复建议。HSS是提升主机整体安全性的服务，通过安装在主机上的Agent守护主机安全，全面识别并管理主机中的信息资产。

WAF是对网站业务流量进行多维度检测和防护，降低数据被篡改、失窃的风险。

华为云提供的VSS、HSS、WAF服务，帮助您全面从网站、主机、Web应用等层面防御风险和威胁，提升系统安全指数。建议三个服务搭配使用。

(14)

表1-4 VSS、HSS、WAF 的区别

服务名称所属分类防护对象功能差异

漏洞扫描服务

（VSS）应用安全、主机安全

提升网站、主机整

体安全性。 ● 多元漏洞检测

● 网页内容检测

● 网站健康检测

● 基线合规检测

● 主机漏洞扫描企业主机安全

（HSS）主机安全提升主机整体安全

性。 ● 资产管理

● 漏洞管理

● 入侵检测

● 基线检查

● 网页防篡改 Web应用防火墙

（WAF）应用安全保护Web应用程序的可用性、安全性。

● Web基础防护

● CC攻击防护

● 精准访问防护

(15)

2 ^{网站扫描类}

2.1 使用“一键认证”有什么要求？

在选择“一键认证”方式对域名进行认证前，请您请确保待检测站点的服务器搭建在华为云的以下区域，且该服务器是您当前登录帐号的资产：

● 华北-北京一

● 华北-北京四

● 华东-上海一

● 华东-上海二

● 华南-广州

● 华南-深圳

● 东北-大连

● 西南-贵阳一

图2-1 一键认证方式

2.2 如何快速发现网站漏洞？

漏洞扫描的原理是，通过爬虫获取用户网站的URL列表，然后对列表中所有URL进行扫描。

(16)

如果用户需要快速扫描，可以在创建扫描任务时，“扫描模式”选择“快速扫描”，

如图2-2所示。

说明

扫描模式分为：快速扫描、标准扫描、深度扫描。选择深度扫描可以更深层次的发现漏洞，建议您优先选择“深度扫描”。

图2-2 设置扫描模式

2.3 如果网站登录需要动态验证码可以使用 VSS 的自动登录功能吗？

可以。只需要用户在网站登录设置页面配置网站的Cookie值，如何配置网站的Cookie 值请参见为什么扫描任务自动登录失败了？。

2.4 为什么扫描任务自动登录失败了？

漏洞扫描服务在扫描过程中，会在用户提交的登录页面上查找登录输入框，以及登录按钮，登录成功后，还会在页面上识别退出登录的触发链接，避免登出。查找这些元素的成功率受影响于用户站点页面元素的复杂程度。

如果扫描任务自动登录失败，可能是因为您的网站需要登录才能访问，请检查您是否通过漏洞扫描服务对您的网站进行了正确的网站登录信息配置，请参照以下操作步骤设置网站登录方式或者修改网站登录配置信息。

(17)

步骤4 在目标域名的“操作”列，单击“编辑”，进入域名编辑页面，根据需要修改“网站登录设置”，如图2-4所示。

图2-4 编辑页面

步骤5 单击“确定”。

----结束

2.5 创建网站扫描任务或重启任务不成功时如何处理？

请执行以下步骤进行处理。

(18)

步骤4 在“资产列表”界面，查看目标网址是否已完成域名认证。

● 如果是，请联系技术支持。

● 如果否，请执行步骤5～步骤6完成域名认证。

步骤5 在目标域名的“认证状态”列，单击“前往认证”。

步骤6 在弹出的“认证域名”对话框中，选择域名认证方式完成域名认证。

● 文件认证，参照图2-6中的验证步骤完成域名认证。

图2-6 文件认证方式

● 一键认证，如图2-7所示。

图2-7 一键认证方式

(19)

须知

如果您选择“一键认证”方式进行域名认证，请确保待检测站点的服务器搭建在华为云的以下区域，且该服务器是您当前登录帐号的资产：

– 华北-北京一 – 华北-北京四 – 华东-上海一 – 华东-上海二 – 华南-广州 – 华南-深圳 – 东北-大连 – 西南-贵阳一

----结束

2.6 网站漏洞扫描一次需要多久？

网站漏洞扫描的时长，跟多种因素相关，包括网站规模（即自动爬取的页面数）、网站响应速度、页面复杂度、网络环境等，通常扫描时长为小时级别，最长不超过24小时。

测试环境下，200个页面的网站完成一次全量扫描耗时约1个小时，这里仅供参考，请以实际扫描时间为准。

另外扫描的过程中会向网站发送一定数量的检测请求，可能会导致网站的负载小幅度增大。

2.7 为什么任务扫描中途就自动取消了？

如果一个任务扫描到一半被系统自动取消了，可能有以下两个原因：

● 没有配置“网站登录设置”信息。

用户没有配置“网站登录设置”信息，VSS无法进行深入的访问，任务就会自动取消。建议设置“网站登录设置”信息后，重新扫描。

● 扫描过程中，出现了网络问题。

网络异常，VSS将无法访问网站，任务就会自动取消。建议网络正常后，重新扫描。

2.8 如何设置定时扫描？

在创建任务时，设置“开始时间”，设置好启动时间后，系统会在用户设置的时间点启动该任务，如图2-8所示。

说明

启动时间必须在一周之内。

(20)

图2-8 定时开始

2.9 域名认证完成后网站根目录下面的认证文件可以删除吗？

不可以。VSS在后续扫描过程中会读取该文件，验证网站的所有权是否仍然有效。

如果认证文件被删除，当再次对该域名进行扫描时，会提示失败。

2.10 为什么执行下载认证文件操作后没有看到下载的认证文件？

如果单击“下载认证文件”后没有看到文件，可能是下载证书被浏览器拦截了，请检查浏览器的拦截设置是否拦截了下载文件。

2.11 创建任务时为什么总是提示域名格式错误？

创建任务时，为了让漏洞扫描服务识别出网站使用的协议（http或https），需要在输入的时候填写此信息。

正确的域名格式为：“http(s)://域名或IP”。

例如：一个使用https协议，IP地址为10.10.10.1的网站，在创建任务时应输入的“目标网址”为“https://10.10.10.1”。

2.12 认证文件有什么用途？

认证文件是为了验证用户和被扫描的网站的所有权。华为云漏洞扫描服务不同于一般的扫描工具，需要确保用户扫描的网站的所有权是用户自己。因为VSS的扫描原理是基于自动化渗透测试（对被扫描的对象发送非恶意的“攻击报文”）。

VSS为了验证用户和被扫描的网站的所有权，会生成一个唯一的文件，只要该文件存放到网站根目录下，文件能够正常被外界访问，VSS就认为当前用户拥有该站点的所有权。

(21)

2.13 为什么域名认证失败？

为什么要进行域名认证

华为云漏洞扫描服务不同于一般的扫描工具，因为VSS的扫描原理是基于自动化渗透测试（对被扫描的对象发送非恶意的“攻击报文”），因此需要确保用户扫描的网站的所有权是用户自己。

VSS 支持的认证方式

● 下载鉴权文件上传到网站根目录的“文件认证”方式。

● 华为云租户“一键认证” 。

“文件认证”方式失败的原因

● 没有将认证时使用的IP加入到网站访问白名单中。

文件认证时，如果网站有访问限制，请您将以下IP添加至网站访问的白名单中：

121.36.16.183，121.36.20.138，121.36.31.222

● 认证文件没有放在网站根目录下

请参照如何将认证文件上传到网站根目录？将认证文件放在网站根目录后重新进行认证。

● 获取证书失败

获取证书失败一般有三种可能：

– 网站不可用，单击访问“http://{your website}/hwwebscan_verify.html”

该页面，如果不能正常访问，则表示该网站不可用。

– 网站有Web应用防火墙之类的防护，需要将VSS的IP加入到网站访问的白名单中，具体方法请参见如何解决网站扫描失败报连接超时的问题？

– 证书放错了位置或者网站做了映射，访问证书会返回404，请将 hwwebscan_verify.html放在网站根目录下，再访问证书。

● 证书校验失败

错误提示“证书校验失败”说明已经可以访问证书文件了。

校验失败的原因一般有两种可能：

– 证书内容不对，先比较自己上传的hwwebscan_verify.html的内容与访问

“http://{your website}/hwwebscan_verify.html”获取到的内容是否一致，

如果不一致，建议将已有的“hwwebscan_verify.html”文件删除，重新下载

“hwwebscan_verify.html”文件后再重新上传，再次验证域名能否认证通过，如果仍然验证失败，建议查看“http://{your website}/

hwwebscan_verify.html”该页面的页面源代码（右键单击“查看页面源代码”），如果出现标签信息，则说明上传的证书文件被篡改了。

说明

建议直接将hwwebscan_verify.html文件放入网站所使用的服务器的根目录下。

– 网站有Web应用防火墙之类的防护，需要将VSS的IP加入到网站访问的白名单中，具体方法请参见如何解决网站扫描失败报连接超时的问题？

● 域名信息不符合规范

该类网站不能使用漏洞扫描服务。

(22)

华为云“一键认证”失败的原因

华为云一键认证的功能只针对两种用户：

● 使用了华为云WAF的用户。

● 客户要扫描的网址对应的EIP是华为云华北、华东、华南、东北局点的EIP。

因此认证失败可能有以下原因：

● 用户不是上述的两种用户。

● 用户是华为云WAF的用户，但该WAF和VSS不在一个账户下，则认证会失败，因为只有购买WAF的账户才能查看WAF的回源IP。

● 用户要扫描的EIP不是在该账户下购买的，因为系统是根据该账户去查询用户已经购买的EIP，然后和输入的EIP进行比对，所以不在同一个帐号下无法一键认证。

● 域名信息不符合规范

该类网站不能使用漏洞扫描服务。

2.14 如何将认证文件上传到网站根目录？

域名认证时，需要将下载的认证文件上传到网站根目录，然后进行认证。用户使用的服务器不同，文件上传的位置有所不同，请参考域名认证完成认证文件的上传。

2.15 如何对网站进行域名认证？

请参考域名认证对网站进行域名认证。

2.16 如何修改 VSS 已添加的域名？

开通VSS后，首先您需要将网站资产以IP或域名的形式添加到VSS中并完成域名认证，

才能进行漏洞扫描。

将域名添加到VSS时，您需要配置网站的域名，包括“网站协议”和“域名/IP地址”。如果已添加的网站域名错误，您可以根据域名的“认证状态”，选择修改网站域名的方式。

未认证

如果域名未认证，请在“资产列表”中，单击资产所在行的“操作”列中的“编辑”，修改网站域名，操作步骤如下所示。

(23)

图2-9 网站信息编辑页面

步骤5 在网站信息编辑页面，修改“域名/IP地址”，如图2-10所示。

图2-10 修改网站信息

步骤6 阅读并勾选“我已经阅读并同意《华为云漏洞扫描服务声明》”。

步骤7 单击“确定”，完成网站域名信息的修改。

步骤8 完成网站协议修改后，对域名进行域名认证，详细操作请参见域名认证。

步骤9 完成域名认证后，对网站进行登录设置，详细操作请参见网站登录设置。

步骤10 网站登录方式设置完成后，您可创建扫描任务，使用VSS扫描网站漏洞，详细操作请参见创建扫描任务。

----结束

(24)

已认证

如果域名已认证，请在VSS“资产列表”中将已添加的域名删除，重新添加并配置网站的域名，操作步骤如下所示。

步骤3 在“资产列表 > 网站”页签，单击操作列的“删除”。

步骤4 进入删除域名入口，如图2-11所示。

图2-11 删除域名

步骤5 删除域名后，请重新添加域名，详细操作请参见添加域名。

步骤6 完成域名添加后，需要重新对添加的域名进行域名认证，详细操作请参见域名认证。

步骤7 完成域名认证后，需要重新对网站进行登录设置，详细操作请参见网站登录设置。

步骤8 网站登录方式设置完成后，您可创建扫描任务，使用VSS扫描网站漏洞，详细操作请参见创建扫描任务。

----结束

2.17 如何解决网站扫描失败报连接超时的问题？

网站报连接超时，可能原因与解决办法如下。

1. 您的网站不稳定，请打开网站，确认是否正常连接，再尝试重新扫描。

2. 您的网站无法在外网访问，导致漏洞扫描服务无法正常访问到您的网站，为您的网站进行安全扫描。

3. 您的网站设置了防火墙或其他安全策略，导致漏洞扫描的扫描IP被当成恶意攻击者而误拦截。请您将以下漏洞扫描的扫描IP添加至网站访问的白名单中：

119.3.232.114，119.3.237.223，124.70.102.147，121.36.13.144，

124.70.109.117，139.9.114.20，119.3.176.1 说明

您的网站无法访问，请您检查网站是否正常工作。如有疑问，欢迎在漏洞扫描服务控制台中进行快速反馈。

2.18 漏洞扫描服务支持 web_CMS 漏洞吗？

VSS暂不支持web_CMS漏洞扫描功能。

(25)

● “快速扫描”：扫描的网站URL数量有限且VSS会开启耗时较短的扫描插件进行扫描。

● “深度扫描”：扫描的网站URL数量不限且VSS会开启所有的扫描插件进行耗时较长的遍历扫描。

● “标准扫描”：扫描的网站URL数量和耗时都介于“快速扫描”和“深度扫描”

两者之间。

有些接口只能在登录后才能访问，建议用户配置对应接口的用户名和密码，VSS才能进行深度扫描。

2.20 已添加的域名是否可以删除？

可以删除，但域名删除后，该资产的历史扫描数据将被删除，不可恢复。

2.21 如何查看漏洞扫描服务扫描出的网站结构？

执行完漏洞扫描任务后，进入“总览”页面，在“最近扫描任务列表”中，单击目标扫描对象，进入任务详情页面，单击“站点结构”页签，查看网站结构。

说明

站点结构展示的是任务扫描出的漏洞对应的网页地址及整体结构，如果任务暂未扫描出漏洞，站点结构无数据显示。

图2-12 站点结构

2.22 如何获取网站 cookie 值？

如果您的网站除了需要账号密码登录，还有其他的访问机制（例如，需要输入动态验证码），则建议您设置cookie登录方式进行网站漏洞扫描，以便VSS能为您发现更多安全问题。

设置cookie登录方式时需要输入网站的cookie值。

(26)

须知

获取cookie值后，在创建扫描任务时，请您保持网站的登录状态，以免cookie失效。

以Google Chrome浏览器为例说明，获取网站（例如，www.example.com）的cookie 值的步骤如下：

步骤1 打开Google Chrome浏览器。

步骤2 按“F12”，进入浏览器的开发者模式。

步骤3 在地址栏中输入目标网站地址“www.example.com”。

步骤4 在调试页面中，选择“Network > XHR” ，如图2-13所示。

图2-13 Network 页面

步骤5 在左侧导航树中，选择一个http请求。

步骤6 在“Headers”页面的“Request Headers”区域框，获取当前网站页面的“Cookie”

字段值，如图2-14所示。

图2-14 获取 cookie 值

----结束

2.23 网站 cookie 值发生变化时，如何进行网站漏洞扫描？

(27)

● 有关设置网站cookie登录方式的详细操作，请参见网站登录设置。

● 有关创建扫描任务的详细操作，请参见创建扫描任务。

2.24 如何处理域名认证时提示“域名已被其他人使用”？

对域名进行认证时，如果提示域名已被其他人使用，说明该域名已被其他帐号进行认证。一般情况下，能够认证该域名的帐号应隶属于您的单位，请咨询您的同事是否用了其他帐号认证了该域名，或者您也可以提工单咨询域名认证情况。

2.25 漏洞扫描服务可以扫描域名下的项目吗？

VSS采用网页爬虫的方式全面深入的爬取网站url，然后针对爬取出来的页面模拟黑客进行试探攻击，帮助您发现网站潜在的安全隐患。如果域名下的项目没有被VSS爬取出来，则该项目不会被VSS扫描到。您可以通过网站扫描详情，查看域名下的项目是否被 VSS扫描到。

有关查看网站扫描详情的操作，请参见查看网站扫描详情。

2.26 如何扫描弱密码？

VSS不支持对弱密码单独进行扫描。您可以通过查看网站扫描详情，了解弱密码的扫描情况。

有关查看网站扫描详情的操作，请参见查看网站扫描详情。

2.27 网站扫描是否可以加/web 访问？

可以。创建扫描任务页面，填写目标网址时可以加上网页路径。

例如：目标网址是“https://www.example.com”，扫描的网址加上具体的网页路径后“https://www.example.com/login.php”。

2.28 可以扫描产品上线前的局域网站点吗？

漏洞扫描服务是通过公网扫描的，局域网内站点可以配置公网代理机，使其可通过公网访问。

2.29 可以在弱密码库中添加弱密码吗？

不可以。

2.30 为什么漏洞发现时间早于扫描开始时间？

当VSS扫描完成后，您没有及时处理发现的漏洞。若您再次开始扫描，扫描完成后，漏洞列表中会展示该漏洞，且发现时间为初次发现该漏洞的时间，如图2-15所示。

您可以在“历史扫描报告”下拉列表中，选择与该漏洞“发现时间”相同日期的扫描任务，并在该扫描任务的“漏洞列表”中查询到该漏洞。

(28)

图2-15 漏洞列表

2.31 使用了 Web 应用防火墙，对网站扫描时 SSL/TLS 存在 bar mitzvah attack 漏洞？

使用了Web应用防火墙（WAF）对网站扫描时SSL/TLS存在bar mitzvah attack漏洞，

需要设置TLS配置。

步骤1 登录Web应用防火墙控制台。

步骤2 进入网站设置页面入口。

步骤3 在目标网站所在行的“防护网站”列中，单击目标网站，进入网站基本信息页面。

步骤4 在“TLS配置”所在行，单击修改TLS配置。

步骤5 选择“TLS v1.2”和“加密套件2”，加密算法为EECDH+AESGCM:EDH+AESGCM。

图2-16 TLS 配置

步骤6 单击“确定”。

(29)

2.32 专业版是否支持一级域名的扫描？

专业版限制一个二级域名扫描，兼容用户把一级域名当做二级域名来使用的场景，这时添加一级域名，配额仍然算作二级域名的，即不能再新加二级域名了。例如用户买了专业版一个配额，可以添加example.com一级域名进行扫描，也算作二级域名的配额，如果想添加www.example.com就必须增加购买配额了。

2.33 如何修复 TLS 弱加密套件？

基本概念

加密套件是TLS/SSL协议中的一个概念，是指服务器和客户端所使用的加密算法组合。

在TLS握手阶段，客户端将自身支持的加密套件列表告诉服务器，服务器根据自己支持的所有套件中选择一个作为之后所使用的加密方式。这些算法包括密钥交换算法、批量加密算法和消息认证码（MAC）算法，组合起来有数百种不同的密码套件。这些密码套件中有的安全性较差，称为弱加密套件，例如：

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256。

安全标准与兼容性

什么加密套件会被判定为弱加密套件，不同标准有着不同的判定方案，如PCI DSS的FS 要求。不同厂商也会根据自身业务规定不同标准，如VSS就参考了《华为密码算法应用规范》来判定弱加密套件。

业务需要根据自身实际情况来调整加密套件，例如某些业务（如电商网站）为了追求最大兼容性也会舍弃一定的安全性、华为云WAF也为不同用户提供了多套加密套件的组合。

修复

在 TLS/SSL配置项中去除VSS扫描出的弱加密套件(详细请参见扫描报告漏洞信息“响应详情”中的内容)。

当用户判断弱加密套件为业务需要且风险可控时，则可忽略该漏洞。

配置修改方法

通常Web应用的TLS/SSL协议由Web容器配置（常见的Tomcat/Nginx/Apache），或者通过云服务供应商提供的服务配置（WAF/Https）。开发人员需要根据自身业务情况确认配置位置，并了解TLS/SSL相关配置项。常见的参考：

● Apache Tomcat 8 (8.5.73) - SSL/TLS Configuration How-To

● SSL/TLS Strong Encryption: How-To - Apache HTTP Server Version 2.4

● Nginx Configuring HTTPS servers

(30)

也可以参考Mozilla SSL Configuration Generator自动生成的TLS/SSL配置来修改。

修复验证

用户可以自行通过在线检测网站或开源工具验证（搜索引擎搜索SSL检测）。

(31)

3 ^{主机扫描类}

3.1 VSS 的主机扫描 IP 有哪些？

如果设置了访问限制，请添加策略允许VSS的IP地址可以访问您的主机。如果您使用了主机安全防护软件，请将VSS访问主机的IP地址添加到该软件的白名单中，以免该软件拦截了VSS访问用户主机的IP地址。

119.3.232.114，119.3.237.223，124.70.102.147，121.36.13.144，124.70.109.117，

139.9.114.20，119.3.176.1

3.2 为什么主机添加成功后不能在主机列表中查找到？

由于VSS系统处理任务需要一段时间，因此主机添加成功后您不能在主机列表中马上查找到该添加的主机。请您等待一段时间，刷新主机列表再查找添加的主机。

3.3 主机扫描支持哪些区域？

目前，主机扫描支持的区域如下：

● 华北-北京四

● 华南-广州

● 华东-上海一

● 西南-贵阳一

● 华南-深圳

3.4 如何对主机进行授权？

详细请参考配置Linux主机授权。

(32)

3.5 为什么在扫描时会提示授权委托失败？

授权委托失败可以根据以下方法进行排查与解决。

● 使用子账号进行扫描

如果您登录华为云使用的是子账号，请确保该子账号所在的用户组拥有Agent Operator和Security Administrator这两个权限，否则扫描时会提示委托授权失败。

● 使用企业账号（主账号进行扫描）（推荐）

如果用户使用的是主账号扫描还是提示委托失败，可能是因为委托数量到达了上限。

查询委托数量是否达到上限：

a. 将鼠标移动至用户名，单击“统一身份认证”，如图3-1所示，进入“用户”

页面。

图3-1 统一身份认证

b. 单击“委托”，进入“委托”页面查看委托数量，如图3-2所示，最多可委托 10个。

图3-2 委托数量

(33)

1. 安全组和网络ACL访问限制。

2. 网络故障。

如果是网络故障的原因导致主机不能访问，请在网络恢复后重新进行主机扫描，如果是因为安全组和网络ACL访问限制导致的主机不能访问，请您将以下VSS的扫描IP添加至主机访问的白名单中：

119.3.232.114，119.3.237.223，124.70.102.147，121.36.13.144，124.70.109.117，

139.9.114.20，119.3.176.1

3.7 主机扫描为什么会扫描失败？

主机扫描失败的主要原因有主机未进行授权、主机不可达，请参考以下方法排查您的主机扫描失败的原因并解决问题。

● 排查主机是否完成了授权，如果未授权，请参见如何对主机进行授权完成主机授权。

● 排查主机是否能正常访问，主机不能访问可能有以下两个原因：

– 主机所在的安全组或网络ACL设置了访问限制，请参见如何解决主机不能访问添加策略允许VSS的IP网段访问您的主机。

– 主机IP被当成不信任IP被主机安全服务拦截，请参见解除拦截受信任的IP解除主机IP封禁，并参见配置SSH登录IP白名单将您的主机IP配置为白名单。

3.8 主机扫描支持非华为云主机吗？

支持，但目前仅支持linux主机。

3.9 漏洞扫描服务支持哪些操作系统的主机扫描？

漏洞扫描服务支持扫描的主机操作系统版本如下：

支持的Linux操作系统版本，如表3-1所示。

表3-1 Linux 操作系统版本 分类支持的OS类型

EulerOS EulerOS 2.2, 2.3 and 2.5 64bit

CentOS CentOS 6.5, 6.8, 6.9, 6.10, 7.1, 7.2, 7.3, 7.4, 7.5, 7.6, 7.7, 7.8 and 7.9 (64 bit)

RedHat Red Hat Enterprise Linux 6.10 and 7.5 64bit Ubuntu Ubuntu 16.04 and 18.04 server 64bit

SUSE SUSE Enterprise 11 SP4 64bit, SUSE Enterprise 12 SP1/SP2/SP3/SP4 64bit, SUSE Enterprise 15 SP1/SP2 64bit

OpenSUS

E OpenSUSE 13.2 and 42.2 64bit

(34)

分类支持的OS类型

Debian Debian 8.2.0, 8.8.0, 9.0.0, 10.0.0 64bit

3.10 如何修复扫描出来的主机漏洞？

不同的主机系统修复漏洞的方法有所不同，软件漏洞的修复需要具有一定专业知识的人员进行操作，根据服务器的情况进行漏洞修复，可参考漏洞扫描服务给出的修复建议，修复漏洞时应按照如下的操作步骤进行修复。

步骤1 对需要修复的服务器实例进行备份，防止出现不可预料的后果。

步骤2 对需要修复的资产和漏洞进行多次确认。根据业务情况以及服务器的使用情况等综合因素，确认自己的资产是否需要做漏洞修复，并形成漏洞修复列表。

步骤3 在模拟测试环境中部署待修复漏洞的相关补丁，从兼容性和安全性方面进行测试，并输出补丁漏洞修复测试报告，报告内容应包含补丁漏洞修复情况、漏洞修复的时长、

补丁本身的兼容性、以及漏洞修复可能造成的影响。

步骤4 进行漏洞修复时，最好多人在场，边操作边记录，防止出现误操作。

步骤5 漏洞修复完成后，在测试环境对目标服务器系统上的漏洞进行修复验证，确保服务器没有异常，输出详细的修复记录进行归档，方便日后遇见相关问题可快速反应。

----结束

总之，为了防止在漏洞修复过程中出现问题，在漏洞修复前要及时备份、制定方案、

在测试环境进行模拟测试验证可行性，在修复过程中要小心并及时记录，在修复后及时生成完备的修复报告进行归档。

如果以上方案仍未能解决您的问题，建议您使用华为云“管理检测与响应”的安全加固功能，一站式完成漏洞修复。

3.11 漏洞扫描服务可以扫描本地的物理服务器吗？

漏洞扫描服务可以扫描本地的物理服务器。若需要扫描本地的物理服务器，需要满足以下条件。

● 本地网络可通外网。

● 本地物理服务器为Linux操作系统，且满足以下版本要求：

– EulerOS：支持的最低系统版本为EulerOS 2.2。

– CentOS：支持的最低系统版本为CentOS 6.5。

– RedHat：支持的最低系统版本为Red Hat Enterprise Linux 6.10。

– Ubuntu：支持的最低系统版本为Ubuntu 16.04 server。

– SUSE：支持的最低系统版本为SUSE Enterprise 11 SP4。

– OpenSUSE：支持的最低系统版本为OpenSUSE 13.2。

– Debian：支持的最低系统版本为Debian 8.2.0。

(35)

有关物理服务器使用VSS的详细介绍，请参见物理服务器可以使用漏洞扫描服务吗？。

3.12 物理服务器可以使用漏洞扫描服务吗？

当您的物理服务器为Linux操作系统，且满足以下版本要求时，如果您的物理服务器可以远程登录，则可以通过添加跳板机的方式使用漏洞扫描服务。

● EulerOS：支持的最低系统版本为EulerOS 2.2。

● CentOS：支持的最低系统版本为CentOS 6.5。

● RedHat：支持的最低系统版本为Red Hat Enterprise Linux 6.10。

● Ubuntu：支持的最低系统版本为Ubuntu 16.04 server。

● SUSE：支持的最低系统版本为SUSE Enterprise 11 SP4。

● OpenSUSE：支持的最低系统版本为OpenSUSE 13.2。

● Debian：支持的最低系统版本为Debian 8.2.0。

操作步骤

步骤2 选择“服务列表 >安全与合规 > 漏洞扫描服务”，进入漏洞扫描服务管理控制台。

步骤3 在左侧导航栏，选择“资产列表 > 主机”。

步骤4 进入添加主机入口，如图3-3所示。

图3-3 进入添加主机入口

步骤5 在“添加主机”页面，单击“添加主机”，参数说明如表3-2所示。

图3-4 添加主机

表3-2 参数说明

参数名称参数说明配置示例

主机名称用户需要添加的主机名称。 vss-test IP地址添加主机的公网IP地址。 192.168.2.3

是否使用跳板机选择“是”。是

跳板机可在下拉框中选择已有跳板机，或

者单击“新增跳板机”，添加跳板机。

-

(36)

步骤6 新增跳板机。

1. 单击“新增跳板机”。

2. 在弹出的对话框中，设置跳板机参数，如图3-5所示，相关参数说明如表3-3所示。

图3-5 添加跳板机

表3-3 跳板机配置参数说明

参数名称参数说明

主机名称添加的跳板机的主机名称。

公网IP 添加的跳板机的公网IP。

登录端口添加的跳板机的登录端口。

选择登录方式 “密码登录”和“密钥登录”。

– 选择密码登录时，需要添加跳板机的用户名和密码。

– 选择密钥登录时，需要添加跳板机的用户名、私钥和私钥密码。

(37)

选择加密密钥为了保护主机登录密码或密钥安全，请您必须使用加密密钥，以避免登录密码或密钥明文存储和泄露风险。

您可以选择已有的加密密钥，如果没有可选的加密密钥，请单击“创建密钥”，创建VSS专用的默认主密钥。

须知

– 您也可以在数据加密服务的以下区域创建密钥：

▪

^{华北-北京一}

▪

^{华北-北京四}

▪

^{华南-广州}

▪

^{华东-上海一}

▪

^{华东-上海二}

▪

^{西南-贵阳一}

▪

^{华南-深圳}

有关创建密钥的详细操作，请参见创建密钥。

– 使用数据加密服务需要单独计费，详细的服务资费和费率标准，请参见价格详情。

3. 阅读《华为云漏洞扫描服务声明》后，勾选“我已阅读并同意《华为云漏洞扫描服务声明》”，单击“确定”。

步骤7 单击“下一步”，添加主机完成。

步骤8 在添加的主机所在行的“操作”列，单击“配置授权信息”。

步骤9 选择SSH授权方式进行主机授权。

图3-6 SSH 授权登录

(38)

说明

● 如果需要修改已有SSH授权，单击“编辑”，进行修改。

● 如果需要删除已有SSH授权，单击“删除”，进行删除。

选择已有SSH授权，或者单击“创建SSH授权”创建SSH授权，如图3-7所示，参数说明如表3-4所示。

图3-7 创建 SSH 授权

表3-4 参数说明

SSH授权别称自定义SSH授权名称。

登录端口 SSH授权登录的端口号。

请确保安全组已添加该端口，以便主机可通过该端口访问VSS。

选择登录方式 ● “密码登录”

● “密钥登录”

(39)

须知

● 您也可以在数据加密服务的以下区域创建密钥：

– 华北-北京一 – 华北-北京四 – 华南-广州 – 华东-上海一 – 华东-上海二 – 西南-贵阳一 – 华南-深圳

● 使用数据加密服务需要单独计费，详细的服务资费和费率标准，请参见价格详情。

Root权限是否加固打开该权限后，不可以用root账号直接登录，而只能通过普通用户登录，然后才能切换到root用户。

sudo用户名默认为root。

sudo密码设置sudo用户对应的密码，单击“加密保存”，对密码进行加密保存。

步骤10 单击“确定”，完成主机授权。

----结束

3.13 如何创建 SSH 授权？

Linux主机支持“SSH授权登录”授权方式。

添加Linux主机后，请参照以下操作步骤创建SSH授权。

步骤2 选择“服务列表 >安全与合规 > 漏洞扫描服务”，进入漏洞扫描服务管理控制台。

步骤3 在左侧导航栏，选择“资产列表 > 主机”。

步骤4 批量选择需要配置的主机，单击“批量操作 > 编辑”，进入批量授权入口，如图3-8所示。

(40)

图3-8 进入批量授权入口

说明

用户也可以单台主机授权，在目标主机所在行的“操作”列，单击“编辑”。

步骤5 在主机授权页面，批量选择需要授权的主机，单击“批量配置授权信息”，如图3-9所示。

说明

● 用户也可以单台主机授权，在目标主机所在行的“操作”列，单击“配置授权信息”。

● 如果需要修改主机名称，单击，在弹出的对话框中，进行修改。

图3-9 批量授权

步骤6 选择已有SSH授权，或者单击“创建SSH授权”创建SSH授权，如图3-10所示，参数说明如表3-5所示。

图3-10 创建 SSH 授权

(41)

表3-5 参数说明

SSH授权别称自定义SSH授权名称。

登录端口 SSH授权登录的端口号。

请确保安全组已添加该端口，以便主机可通过该端口访问VSS。

选择登录方式 ● “密码登录”

● “密钥登录”

须知

– 华北-北京一 – 华北-北京四 – 华南-广州 – 华东-上海一 – 华东-上海二 – 西南-贵阳一 – 华南-深圳

Root权限是否加固打开该权限后，不可以用root账号直接登录，而只能通过普通用户登录，然后才能切换到root用户。

sudo用户名默认为root。

sudo密码设置sudo用户对应的密码，单击“加密保存”，对密码进行加密保存。

步骤7 阅读《华为云漏洞扫描服务声明》后，勾选“我已阅读并同意《华为云漏洞扫描服务声明》”，单击“确定”，完成Linux主机授权。

----结束

3.14 配置主机授权时，必须使用加密密钥吗？

在创建SSH授权登录（Linux主机）时，为了保护主机登录密码或密钥安全，请您必须使用加密密钥，以避免登录密码或密钥明文存储和泄露风险。

您可以选择已有的加密密钥，如果没有可选的加密密钥，请单击“创建密钥”，创建 VSS专用的默认主密钥。

(42)

有关配置主机授权的详细操作，请参见如何对主机进行授权？。

须知

● 华南-广州

3.15 创建 SSH 授权时，如何设置登录端口？

在为Linux主机创建SSH授权登录时，需要设置登录端口，如图3-11所示。

在设置登录端口时，请确保安全组已添加该端口，以便主机可通过该端口访问VSS。

图3-11 设置登录端口

3.16 如何扫描修改了 IP 地址的主机？

如果您的主机已在本地配置了账号和密码，当您修改该主机的IP地址后，请先在本地重新配置该主机的账号和密码，然后在漏洞扫描服务中添加该主机并授权漏洞扫描服务可以访问该主机。

有关对主机进行授权的详细操作，请参见如何对主机进行授权？。

3.17 对主机扫描出的漏洞执行“忽略”操作有什么影响？

(43)

3.18 主机扫描可以关闭基线检查吗？

主机扫描不能关闭基线检查。如果您确认基线检查扫描出的检查项不会对主机造成危害，您可以在目标检查项所在行的“操作”列，单击“忽略”，忽略该检查项，相应的检查项统计结果将发生变化，扫描报告中也不会出现该检查项。

3.19 基线检查的风险个数是如何统计的？

基线检查结果中“未通过”的检查项的总数即为基线检查的风险个数。

3.20 等保合规的检查项可以忽略吗？

可以。

● 如果您确认扫描出的检查项不会对主机造成危害，您可以在目标检查项所在行的

“操作”列，单击“忽略”，忽略该检查项，后续执行扫描任务会扫描出该漏洞，但相应的检查项统计结果将发生变化，扫描报告中也不会出现该检查项。

● VSS目前仅企业版用户支持等保合规检测，如果您需要对您的主机进行等保合规检测，请购买企业版。

3.21 基线检查总数与检查项数不一致，为什么？

VSS目前仅支持扫描一个tomcat进程，当目标主机有多个tomcat进程时，基线检查的总扫描数与检查项显示的个数不一致。

请您保留一个tomcat进程后，重新对该目标主机进行扫描。

3.22 配置普通用户和 sudo 提权用户漏洞扫描失败案例

默认情况下，Linux系统没有将普通用户列入到sudoer列表中（普通用户 is not in the sudoers file. This incident will be reported.）:

1. 登录系统并切换到root权限。

2. 输入#vi /etc/sudoers，就会打开sudoers配置文件。

3. 在配置文件末尾添加：普通用户名 ALL=(ALL:ALL) ALL，输入 :wq! ，保存修改。

(44)

说明

● 使用VSS的sudo提权扫描功能时，认证凭据输入位置的“普通用户密码”和“sudo密码”请保持一致，均为“普通用户”的密码。

● 扫描完成后，请还原配置。

3.23 如何配置跳板机进行内网扫描？

图3-12 网络示意图

创建扫描任务，IP地址栏填写小网IP；添加跳板机配置，跳板机需有公网IP且与被测目标的小网环境互通。

(45)

另外：跳板机需在ssh的配置文件“ /etc/ssh/sshd_config”添加：

AllowTcpForwarding yes，用于支持SSH授权登录转发。修改配置后需重启sshd服务。

(46)

4 ^{移动应用安全类}

4.1 任务状态显示失败如何处理？

任务扫描失败可能由多种原因造成，需要针对具体情况进行分析，常见的失败原因如下：

表4-1 常见失败原因分析

失败原因分析解决方案

应用文件解析异常应用文件本身存在不完整、结构异常等问题，导致服务无法正常解析。提供正确的应用文件重新创建扫描任务即可。

应用文件上传中损坏应用文件在传送过程中损坏，导致无法正确解析，重新创建扫描任务进行扫描即可。

其它原因导致任务失败多次重复创建任务后扫描任务仍然失败，可联系

说明

失败任务不会产生扣费，可重新创建任务进行扫描。

4.2 扫描的安全漏洞告警如何分析定位?

针对移动扫描的安全漏洞，如何通过报告提供的信息进行分析、定位、修复？检测结果提供了如下信息：

(47)

1. 报告提供了问题代码信息，包括文件名及其路径，可以通过该信息快速定位到问题文件。

说明

针对部分检测问题，如签名安全检测告警，无具体问题文件显示。

2. 漏洞特征信息，主要为安全漏洞所涉及的函数代码。

3. 安全漏洞修复建议，结合上述代码信息确定具体告警位置，分析漏洞告警是否确认为安全漏洞。

4.3 扫描的隐私合规问题如何分析定位？

针对扫描结果中的隐私合规问题告警，可以通过一下几个信息进行分析定位，并整改处理。

1. 截图：在动态运行APP过程中，对部分涉及界面的合规问题进行截图举证，在最终扫描结果中提供截图展示，用户可根据截图进行告警分析。

2. 调用栈：涉及收集个人数据类告警，包括第三方SDK收集，扫描结果中会提供代码调用栈信息，帮助应用开发人员快速查找问题点。

3. 隐私申明片段：对于应用实际行为与隐私声明不一致的合规问题，扫描结果中会提取相应的隐私审批片段，能快速从应用隐私申明、第三方SDK隐私申明中定位问题点。

4. 相应政策规范：该项告警违反的哪些规范条目，在扫描报告中详细列举，用户可以针对性的进行分析整改。

(48)

4.4 任务部分检测项有数值，但任务状态显示失败？

如下图显示，任务检测结果中安全漏洞检测有告警，隐私合规问题数为0，任务状态为

“失败”。

每个任务会进行多个检测项的检查，如基础安全检测、违规收集信息检测、隐私声明一致性检测等，整个检测过程分为应用解析、静态分析、动态运行三个阶段，因为应用自身原因，如闪退、无法解析、无法安装等原因导致其中某个阶段出现异常的时候任务会中止。这时候已经有了一部分检测结果，但为了保证整体任务检测完整性，我们会判定当前任务失败，且报告不可查看，扫描失败的任务不扣费。

4.5 安全漏洞报告中问题文件或者漏洞特征信息为空?

安全漏洞扫描结果中，我们会展示相关的问题文件及特征信息，但是在实际报告会发现存在问题文件或者漏洞特征信息为空的情况，如下图所示：

这是因为部分检查项是针对全局性的，不针对某个文件，所以存在问题文件跟漏洞特征信息为空情况，属于正常现象。

4.6 任务扫描超 1 小时仍然未结束？

根据样本统计，单任务平均扫描耗时约40min，扫描时长跟以下几个因素有关：

● 文件大小，文件越大扫描越耗时。

(49)

故部分应用扫描时长会高于评价耗时，如超过2H仍未结束，可能是因为某些异常原因导致任务无法正常结束，我们会判定该类任务未超时，终止任务执行、设置任务状态为失败。

(50)

5 ^{二进制成分分析类}

5.1 成分分析的扫描对象是什么？

成分分析的扫描对象为产品编译后的二进制软件包或固件；不支持扫描源码类文件。

5.2 成分分析的主要扫描规格有哪些？

● 支持的文件格式主要

有：.zip、.rar、.tar、.tar.gz、.jar、.apk、.hap、.so、.gz、.gzip等10+通用的压缩、固件、包格式。

● 支持的编程语言类型：C/C++/Java/Go/Python。

● 支持上传的文件大小：不超过5GB。

● 平均扫描时间预估：根据不同的压缩格式或者文件类型扫描时长会有一定的差异，平均100Mb/min。

5.3 成分分析的扫描原理是什么，主要识别哪些风险？

对用户提供的软件包/固件进行全面分析，通过解压获取包中所有待分析文件，基于组件特征识别技术以及各种风险检测规则，获得相关被测对象的组件BOM清单和潜在风险清单。主要包括以下几类：

● 开源软件风险：检测包中的开源软件风险，如已知漏洞、License合规等。

● 安全配置风险：检测包中配置类风险，如硬编码凭证、敏感文件（如密钥、证书、调试工具等）问题、OS认证和访问控制类问题等。

● 信息泄露风险：检测包中信息泄露风险，如IP泄露、硬编码密钥、弱口令、

GIT/SVN仓泄露等风险。

● 安全编译选项：支持检测包中二进制文件编译过程中相关选项是否存在风险。

如何下载网站扫描报告？_漏洞扫描服务 VSS_常见问题_报告类_华为云

常见问题

目 录

1 产品咨询类... 1

2 网站扫描类...10

3 主机扫描类...26

4 移动应用安全类... 41

5 二进制成分分析类... 45

6 计费类... 49

7 报告类... 52

1 产品咨询类

1.1 什么是区域和可用区？

什么是区域、可用区？

如何选择区域？

如何选择可用区？

区域和终端节点

1.2 漏洞扫描服务的扫描 IP 有哪些？

1.3 漏洞扫描服务可以免费使用吗？

1.4 扫描任务有哪些状态？

1.5 漏洞扫描服务到期后还能继续使用吗？

1.6 扫描任务的得分是如何计算的？

1.7 按需计费扫描失败怎么办？

1.8 为什么购买漏洞扫描服务失败了？

1.9 漏洞扫描服务能修复扫描出来的漏洞吗？

1.10 漏洞扫描服务和传统的漏洞扫描器有什么区别？

1.11 漏洞扫描服务支持扫描哪些漏洞？

1.12 如何查看漏洞修复建议？

1.13 漏洞扫描服务可以跨区域使用吗？

1.14 漏洞扫描服务支持跨云扫描吗？

1.15 漏洞扫描服务支持多个帐号共享使用吗？

1.16 单次扫描是否提供扫描报告和修复建议？

1.17 漏洞扫描服务可以对网站文字和图片改变进行检测吗？

1.18 使用漏洞扫描服务前需要备份数据吗？

1.19 漏洞扫描服务如何判定 SQL 注入风险？

1.20 漏洞扫描服务支持扫描 SQL 注入吗？

1.21 Apache Log4j2 漏洞检测相关问题

1.22 VSS 与 HSS、WAF 有什么区别？

2 网站扫描类

2.1 使用“一键认证”有什么要求？

2.2 如何快速发现网站漏洞？

2.3 如果网站登录需要动态验证码可以使用 VSS 的自动登录 功能吗？

2.4 为什么扫描任务自动登录失败了？

2.5 创建网站扫描任务或重启任务不成功时如何处理？

2.6 网站漏洞扫描一次需要多久？

2.7 为什么任务扫描中途就自动取消了？

2.8 如何设置定时扫描？

2.9 域名认证完成后网站根目录下面的认证文件可以删除吗？

2.10 为什么执行下载认证文件操作后没有看到下载的认证文 件？

2.11 创建任务时为什么总是提示域名格式错误？

2.12 认证文件有什么用途？

2.13 为什么域名认证失败？

为什么要进行域名认证

VSS 支持的认证方式

“文件认证”方式失败的原因

华为云“一键认证”失败的原因

2.14 如何将认证文件上传到网站根目录？

2.15 如何对网站进行域名认证？

2.16 如何修改 VSS 已添加的域名？

未认证

已认证

2.17 如何解决网站扫描失败报连接超时的问题？

2.18 漏洞扫描服务支持 web_CMS 漏洞吗？

2.20 已添加的域名是否可以删除？

2.21 如何查看漏洞扫描服务扫描出的网站结构？

2.22 如何获取网站 cookie 值？

2.23 网站 cookie 值发生变化时，如何进行网站漏洞扫描？

2.24 如何处理域名认证时提示“域名已被其他人使用”？

2.25 漏洞扫描服务可以扫描域名下的项目吗？

2.26 如何扫描弱密码？

2.27 网站扫描是否可以加/web 访问？

2.28 可以扫描产品上线前的局域网站点吗？

2.29 可以在弱密码库中添加弱密码吗？

2.30 为什么漏洞发现时间早于扫描开始时间？

2.31 使用了 Web 应用防火墙，对网站扫描时 SSL/TLS 存在 bar mitzvah attack 漏洞？

2.32 专业版是否支持一级域名的扫描？

2.33 如何修复 TLS 弱加密套件？

基本概念

安全标准与兼容性

修复

配置修改方法

目录

1 ^{产品咨询类}

2 ^{网站扫描类}

2.3 如果网站登录需要动态验证码可以使用 VSS 的自动登录功能吗？

2.10 为什么执行下载认证文件操作后没有看到下载的认证文件？

3 ^{主机扫描类}

4 ^{移动应用安全类}

5 ^{二进制成分分析类}