华为如何扫描网站漏洞

漏洞扫描服务最佳实践文档版本01发布日期2018-07-05华为技术有限公司版权所有华为技术有限公司2018.
保留一切权利.
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播.
商标声明和其他华为商标均为华为技术有限公司的商标.
本文档提及的其他所有商标或注册商标,由各自的所有人拥有.
注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内.
除非合同另有约定,华为公司对本文档内容不做任何明示或默示的声明或保证.
由于产品版本升级或其他原因,本文档内容会不定期进行更新.
除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保.
华为技术有限公司地址:深圳市龙岗区坂田华为总部办公楼邮编:518129网址:http://e.
huawei.
com文档版本01(2018-07-05)华为专有和保密信息版权所有华为技术有限公司i目录1一键检测最新CVE漏洞.
12检测企业弱密码.
3漏洞扫描服务最佳实践目录文档版本01(2018-07-05)华为专有和保密信息版权所有华为技术有限公司ii1一键检测最新CVE漏洞本章节指导您当业界有新漏洞爆发时,如何快速检测您的网站是否存在该漏洞.
漏洞的危害如今互联网安全局势险峻,每天都会爆发大量的漏洞,其中不泛远程代码执行、远程溢出等高风险漏洞.
黑客会利用漏洞爆发到漏洞修复的这段时间,对用户的网站进行攻击,从而控制网站,窃取机密数据.
CVE漏洞一键检测功能介绍当业界爆发新漏洞时,华为云漏洞扫描服务提供的CVE漏洞一键检测功能,可以帮助用户快速进行漏洞检测,及时发现该漏洞,降低该漏洞被黑客利用的风险.
说明华为云漏洞扫描服务支持OWASPTOP10和WASC的漏洞检测能力,可以对网站进行更全面的扫描,详细操作请参见网站漏洞扫描和主机漏洞扫描.
如何快速检测最新CVE漏洞以下以检测业界最近爆发的漏洞"CVE-2018-1273SpringDataCommons远程命令执行漏洞"为例说明如何使用CVE漏洞一键检测功能.
步骤1登录管理控制台.
步骤2选择"安全>漏洞扫描服务>总览",进入"总览"界面.
步骤3单击"CVE-2018-1273SpringDataCommons"右侧的"一键检测",如图1-1所示.
图1-1一键检测步骤4在弹出的"一键检测最新紧急漏洞风险"窗口中,输入需要检测的域名或IP地址后,单击"快速检测".
漏洞扫描服务最佳实践1一键检测最新CVE漏洞文档版本01(2018-07-05)华为专有和保密信息版权所有华为技术有限公司1用户可以在该界面看到漏洞影响的范围以及修复方案.
图1-2一键检测最新紧急漏洞风险步骤5检测完成后,查看检测结果.
"危险"表示您的网站存在"CVE-2018-1273SpringDataCommons远程命令执行漏洞".
请根据修复建议进行修复,例如:对SpringDtataCommons组件版本进行升级.
图1-3检测结果(危险)----结束漏洞扫描服务最佳实践1一键检测最新CVE漏洞文档版本01(2018-07-05)华为专有和保密信息版权所有华为技术有限公司22检测企业弱密码什么是弱密码弱密码(弱口令),指比较容易被人猜解或破解的密码,例如"123456"、"abc123"、"Huawei@123"等.
弱密码的危害弱密码不归属于某一类漏洞,但其带来的安全隐患却不亚于任何一类漏洞.
数据、程序都储存在系统中,若密码被破解,系统中的数据和程序将毫无安全可言.
l案例一:2015年12月份,某省大量政府官网,因网站系统管理员未修改缺省密码"admin88",导致近一半的网站被黑客入侵,管理员头像遭篡改,并以管理员身份发表测试文章.
l案例二:2016年1月份,某省省级管理网站,因某管理员使用了弱密码"123456",导致该管理人员所在组织内部人员的个人信息全部泄露.
一旦黑客利用网站其他漏洞,将导致全网站组织成员的身份证号、联系方式、家庭住址等信息全部泄露.
如何检测弱密码华为云提供的漏洞扫描服务(VulnerabilityScanService,简称VSS)支持高危端口和弱密码扫描功能,可以针对常见开放的端口进行扫描,并识别出端口上运行的服务,对这些服务进行弱密码检测.
步骤1购买漏洞扫描服务专业版.
步骤2创建扫描任务.
1.
登录管理控制台.
2.
选择"安全>漏洞扫描服务>任务列表",进入"资产列表"界面.
3.
单击"立即扫描",进入"创建任务"界面.
4.
填写扫描信息.
5.
展开"高级扫描设置",在"更多扫描设置"栏目下,打开"端口扫描"和"弱密码扫描"的开关,如图2-1所示.
漏洞扫描服务最佳实践2检测企业弱密码文档版本01(2018-07-05)华为专有和保密信息版权所有华为技术有限公司3图2-1扫描设置说明–漏洞扫描服务提供以下三种"扫描模式":n快速扫描:扫描耗时最少,能检测到的漏洞相对较少.
n标准扫描:扫描耗时适中,能检测到的漏洞相对较多.
n深度扫描:扫描耗时最长,能检测到最深处的漏洞.
–"扫描完毕接收通知":开启后,在任务完成时,用户会收到短信通知.
6.
单击"开始扫描".
步骤3查看扫描结果.
1.
当扫描任务的状态为"已完成"时,单击任务名称.
2.
在任务详情的"漏洞列表"中可以看到发现的弱密码.
图2-2扫描结果3.
单击漏洞ID,可以查看该弱密码详情.
用户可以根据扫描结果,对服务的密码进行修改,增强密码安全强度.
修改完成后可以再次进行弱密码扫描来验证修改效果.
漏洞扫描服务最佳实践2检测企业弱密码文档版本01(2018-07-05)华为专有和保密信息版权所有华为技术有限公司4图2-3漏洞详情----结束密码设置建议l使用复杂度高的密码.
建议密码复杂度至少满足如下要求:漏洞扫描服务最佳实践2检测企业弱密码文档版本01(2018-07-05)华为专有和保密信息版权所有华为技术有限公司5a.
密码长度至少8个字符.
b.
包含如下至少三种组合:i.
大写字母(A~Z)ii.
小写字母(a~z)iii.
数字(0~9)iv.
特殊字符(和空格)c.
密码不为用户名或用户名的倒序l不使用如下常见弱口令:–生日、姓名、身份证、手机号、邮箱名、用户ID、时间年份–数字或字母连排或混排,键盘字母连排(如:123456,abcdef,123abc,qwerty,1qaz2wsx等)–短语密码(如:5201314,woaini1314等)–公司名称、admin、root等常用词汇l不使用空密码或系统的缺省密码l不同网站/账号使用不同的密码l定期修改密码漏洞扫描服务最佳实践2检测企业弱密码文档版本01(2018-07-05)华为专有和保密信息版权所有华为技术有限公司6