功能介紹

通過天翼云監測系統平臺，在無需用戶采購任何Web應用掃描產品前提下，即可獲得網站的漏洞態勢，以及每個漏洞的詳情介紹和修補建議，方便及時作出處置。

• 支持遠程掃描Web漏洞和按照國際權威安全機構WASC分類的25種Web應用漏洞，全面覆蓋OWASP Top 10 Web應用風險。

前提條件

• 已經訂購邊緣安全加速平臺-安全與加速服務，若未訂購，請參見服務開通。
• 開通套餐為免費版及以上版本。

說明
默認脫敏顯示您的聯系方式等敏感信息，點擊明文顯示時，請您注意保護數據安全！

新增漏洞掃描任務

1. 登錄。

2. 在左側導航欄中選擇【安全能力】，進入【網站風險監測】菜單，并在左側域名列表選擇您要掃描的域名。

3. 支持兩種配置掃描任務方式。

4. 如果您需要快速復制其他域名的掃描任務，可單擊【域名資產概況】中的【快速配置監測任務】。
   

5. 如果您需要新增掃描任務，單擊【新增】按鈕。

   配置項說明：

配置項
說明
任務名稱
用戶可自定義任務名稱，支持中文、英文、數字、下劃線，最長30個字符。
任務開關
用戶開啟或者關閉任務。
監測任務等級
掃描漏洞范圍：
高危:監測站點是否有命令執行，SQL注入，XML注入，目錄遍歷與目錄穿越，跨站腳本漏洞，反序列化漏洞等。
中危：監測站點是否有敏感數據泄漏，用戶憑證明文傳輸，錯誤的安全配置等。
低危：監測站點有無TLS傳輸防護，cookie未受httponly保護等。
監測URL
掃描任務開始掃描的url，從該url開始訪問，逐層掃描。
比如：起始url：//www.ctyun.cn/start_url 則:
一級鏈接表示：//www.ctyun.cn/start_url/level_1, //www.ctyun.cn/start_url/level_1_01 等；
二級鏈接表示：//www.ctyun.cn/start_url/level_1/level_2，//www.ctyun.cn/start_url/level_1/level_2_01 等；
三級鏈接表示：//www.ctyun.cn/start_url/level_1/level_2/level_3，//www.ctyun.cn/start_url/level_1/level_2/level_3_02 等。
監測排除URL
設置不需要掃描的URL，如?http(s)://www.ctyun.cn/xxx 不進行漏洞檢測。
定義HTTP頭部
如果掃描域名需要登錄，需要設置可獲取登錄憑證Header以自定義設置登錄憑據。
接口掃描
如果包含API接口需要上傳掃描對應的api接口文件。
監測計劃
立即檢測：任務創建完立即進行漏洞檢測，不再重復執行檢測 ；
單次：任務創建完在指定時間進行漏洞檢測，檢測完成即任務結束，不再重復執行檢測
每天：任務創建完任務在每天指定時間進行檢測
每周：任務創建完任務在指定周幾的指定時間進行檢測
每月：任務創建完任務在指定日期的指定時間進行檢測
通知方式
支持郵件和短信通知。

加白掃描機器IP

1. 如果您的域名有安全防護設備，需要提前將掃描機器IP在您安全防護設備中的訪問控制加白，獲取掃描機器IP方法如下。
2. 登錄。
3. 在左側導航欄中選擇【安全能力】，進入【網站風險監測】菜單，并在左側域名列表選擇您要配置的域名。
4. 單擊右上角【掃描機器IP】按鈕，您可以導出機器IP列表，如果掃描機器變更，您需要第一時間獲取通知，可以單擊【掃描機器變更通知】按鈕，配置您需要接收通知的郵箱或者手機號。
   

查詢掃描任務執行情況

如果您需要查詢任務執行情況，查詢方式如下:

1. 登錄。
2. 在左側導航欄中選擇【安全能力】，進入【網站風險監測】菜單，并在左側域名列表選擇您要查看的域名。
3. 在任務列表中，在【操作】欄中單擊【任務執行情況】按鈕，您可以在查看到監測開始時間、監測結束時間、任務執行狀態，和跳轉查看風險日志。

關閉所有掃描任務

1. 登錄。
2. 在左側導航欄中選擇【安全能力】，進入【網站風險監測】菜單，并在左側域名列表選擇您要掃描的域名。
3. 單擊【網站風險監測】開關，會停止所有掃描任務。
   

導出漏洞掃描報告

若您在漏洞掃描任務結束后，有導出漏洞掃描報告的需求，可以在監測任務->任務執行情況執行導出操作，系統將為您生成漏洞掃描報告。

1. 登錄。
2. 在左側導航欄中選擇【安全能力】，進入【網站風險監測】菜單，并在左側域名列表選擇您要操作的域名。
3. 在監測任務列表選擇您要查看報告的任務，點擊【任務執行情況】。
4. 點擊【報告導出】。
5. 漏掃報告支持查看站點全局掃描詳情、漏洞分類統計、高頻漏洞排行、漏洞信息與修復建議等等。