文档中心

漏洞扫描VSS用户指南

最近更新时间：

4 功能操作

4.1 任务中心

4.1.1 新建任务

1. 系统扫描任务

扫描基本配置

针对漏洞扫描，添加需要扫描的目标，填写形式为单个主机或者主机组，配置任务名称，选择漏洞扫描插件模板并提交扫描。

• 扫描目标：输入的内容有[单个主机]和[主机组]两种，多个之间以英文逗号(,)或换行分隔单个主机示例：192.168.1.100 也可使用域名：www.example.com。

• IPv6 示例：2001:fecd:ba23:cd1f:dcb1:1010:9234:4088。

• 主机组示例：192.168.1.0/24,192.168.2.1-254,192.168.3.1-192.168.3.254。

• 排除某个 IP：192.168.1.0/24!192.168.1.100。

• 任务名称：填写新建的系统扫描任务名称。

• 执行方式：选择立即执行/定时执行一次/每天执行一次/每周执行一次/每月执行一次。

• 检测模式

完全扫描：采用主机存活判断、端口扫描、服务判断、漏洞测试的步骤对扫描目标进行完整的安全扫描。

强制扫描：使用强制手段对扫描目标进行主机存活、端口服务探测。

• 登录审计：利用配置好的用户名密码列表对主机进行登录后的本地审计。

• 漏洞插件模板：选择漏洞插件模板。

• 分布式引擎

可选择默认/local，两台及以上数量的设备协同工作的一种部署方式，其中一台作为管理中心，其他的设备作为引擎，管理中心统一进行任务调度及结果展示等操作，管理中心可同时做任务调度和作为分布式引擎使用。默认：系统将根据引擎的负载情况，智能选择工作引擎，同时也可以指定引擎。

• 执行优先级：当任务达到并发上限时，“排队等待”级别高的任务将优先执行。可选择高/中/低。

• 检测结束发送邮件：需要在告警配置中配置邮件网关，多个邮箱可用英文逗号(,)分割。

• 检测结束发送短信：需要在告警配置中配置了短信网关，多个手机号码可用英文逗号(,)分割。

• 检测结束发送微信：描二维码注册并验证，多个微信号可用英文逗号(,)分割。

自主选择插件

可对扫描任务使用的插件进行修改，使用“启用”或者“禁用”在漏洞插件的基础上来增删漏洞插件，实现插件库自定义。

探测选项

• 提示扫描目标：在扫描之前提示被扫主机，需要扫描目标支持 messager 服务。

• 开启存活探测：如果开启，引擎使用如下探测方法进行探测，如果不能确定存活，则不进行探测，提高检测速度；如果不开启，则对所有主机进行漏洞检测，会延长检测时间。

• 主机存活测试：可以复选 ARP、ICMP PING、TCP PING、UDP PING。默认选择前三种。

• 端口扫描范围：可以选择标准、快速、全部、指定。

标准：默认端口 4000 多个。

快速：100 个常用端口。

全部：端口 0-65535。

指定：

− 单个或范围：如 22，1-1024。

− TCP 端口：TCP:1024-65535。

− UDP 端口：UDP:1025-65535。

• 端口扫描方式：CONNECT 方式为全连接扫描，完成 TCP/IP 的三次握手，速度较慢。SYN方式，只需要发送 TCP SYN 包即可完成检测，速度快，建议使用 SYN。

检测选项

• 最大限度报告漏洞：若选择关闭，则将大大提高扫描速率，部分耗时长的规则将跳过执行。

• 执行所有规则检测：若选择开启，检测耗时越久、对检测目标的覆盖面更广。

• 执行相关联漏洞：若选择开启，某些已例外的漏洞将加入到扫描结果当中。

• 保存漏洞检测详情：若选择开启，漏洞的详细打印信息将加入到扫描结果当中。

• 自适应网络：根据网络的反应速度，适当调整发包的速率，从而不至于将网络扫瘫痪，但会影响扫描速度。

• 危险测试：包含一些危险的测试方法，如：拒绝服务检测，导致扫描目标的拒绝服务，因此慎用。

• 停止探测无响应的主机：如果扫描过程中发现扫描目标没有反应，停止对该目标的探测。

• 启用口令破解：使用默认字典对系统或服务的口令进行猜解。

• 测试 Oracle 账号：对 Oracle 数据库进行深度检测。

• 启用 Web 检测：开启则可进行 Web 检测。

• SMB 信息探测：启用则可进行 SMB 信息检测。

引擎选项

• 插件超时：单个插件执行时间最长设置[10-300]。

• 网络时延：网络连接超时设置[10-300]。

• 单个主机检测并发数：针对单个的检测目标，并发的检测插件数量[1-50]。

• 单个扫描任务并发主机数：单个扫描任务，可同时扫描的主机数量[1-1]。

• 单个主机 TCP 连接数：针对单个检测目标，并发的 TCP 连接数量[1-1024]。

• 单个扫描任务 TCP 连接数：单个扫描任务，最多可同时并发的 TCP 连接数[1-1024]。

登录信息选项

• 预设登录账号：下拉选择 SSH、SMB、TELNET、POP、POP3、IMAP、FTP、RSH、REXEC、WSUS、SNMP、RDP 共 12 种，主要选择主机相应的服务并填写用户名密码，再进行登录验证，提交扫描即可。

• 数据库类型：下拉选择 None、Postgres、Oracle、Mysql、Mssql、DB2、Informix、Sybase。选择需要检测的主机上的数据库类型，填写相对应的端口、用户名和密码提交即可，目前数据库验证支持 PostgreSQL、MsSQL、MySQL 认证。

2. Web 漏洞扫描任务

扫描基本配置

针对 Web 扫描，添加需要扫描的目标，填写形式为单个主机或者主机组，配置任务名称，选择Web 扫描插件模板并提交扫描。

• 扫描目标

URL 地址：http://www.example.com/或 https://www.example.com/。

URL 地址：http://192.168.1.100/或 https://192.168.1.100/。

IPv6URL 示例：http://[2001:fecd:ba23:cd1f:dcb1:1010:9234:4088]/。

多个 URL 以英文逗号(,)或回车分隔。

• 任务名称：填写新建的 WEB 扫描任务名称。

• 执行方式：选择立即执行/定时执行一次/每天执行一次/每周执行一次/每月执行一次。

• 漏洞插件模板：选择漏洞插件模版。

• 分布式引擎：可选择默认/local。两台及以上数量的设备协同工作的一种部署方式，其中一台作为管理中心，其他的作为引擎，管理中心统一进行任务调度及结果展示等操作，管理中心可同时做任务调度和作为分布式引擎使用。默认：系统将根据引擎的负载情况，智能选择工作引擎，同时也可以指定引擎。

• 执行优先级：当任务达到并发上限时，排队等待中'级别高的任务将优先执行。可选择高/中/低。

• 检测结束发送邮件：需要在告警配置中配置了邮件网关，多个邮箱可用英文逗号(,)分隔。

• 检测结束发送短信：需要在告警配置中配置了短信网关，多个手机号码可用英文逗号(,)分隔。

• 检测结束发送微信：扫描二维码注册并验证，多个微信号可用英文逗号(,)分隔。

自主选择插件

可对扫描任务使用的插件进行修改，使用“启用”或者“禁用”在漏洞插件的基础上来增删漏洞插件，实现插件库自定义。

引擎配置

• 并发线程数：单个扫描目标，并发执行的线程数量[1-50]。

• 区分大小写：网站对于 URL 中字母大小写是否敏感。

• 最大类似页面数：引擎用于归并类似链接时需要保留类似链接的数量[1-1000]。

• 同目录下最大页面数：引擎在归并链接时，同一目录下需要保留的链接数量[1-1024]。

• 重试次数：当链接无法访问时，重新访问的次数[1-10]。

• 超时时间：当访问链接时超过多长时间，判定链接无法访问[1-300]。

• 代理类型：网站访问目标网站时，可能需要通过代理才能访问。

检测选项

• 暗链检测：发现网站中的存在的其他隐藏链接。

• 网站木马检测：检测网站中是否存在恶意脚本。

• 检测深度：检测网站时爬虫爬取网站的页面深度。

• 爬虫策略：引擎的爬虫在爬网站页面多叉树时，采用的先后顺序策略。

• HTTP 请求头：引擎爬虫模拟浏览器的 UserAgent。

• 表单填充内容：引擎爬虫模拟提交时需要填充的表单的内容。

• 最大页面数：引擎爬虫爬取页面时超过最大页面数后，不做爬取。

• 页面最大 KB 数：引擎爬虫爬去页面时，如果页面大小超过一定 KB，则放弃爬取。

• 例外 URL：引擎爬虫不爬取的 URL 关键字，一般为登出页面、危险操作、或不想做检测的链接。

• 例外文件类型：引擎爬虫不对如下类型的链接爬取，一般为非文本的链接。

• 例外特定参数：引擎对默认的参数不做安全检测。

3. 数据库扫描任务

扫描基本配置

针对数据库扫描，添加需要扫描的目标，填写形式为单个主机或者主机组，配置任务名称，选择数据库扫描插件模板并提交扫描。

• 扫描目标

输入的内容有单个主机和主机组两种，多个之间以英文逗号（,）或换行分隔。

单个主机示例：192.168.1.100，也可使用域名：www.example.com。

IPv6 示例：2001:fecd:ba23:cd1f:dcb1:1010:9234:4088。

主机组示例：192.168.1.0/24,192.168.2.1-254,192.168.3.1-192.168.3.254。

排除某个 IP：192.168.1.0/24!192.168.1.100。

• 数据库类型：可在下拉列表中选择，包括：None、Postgres、Oracle、MySQL、MsSQL、DB2、Informix、Sybase。

• 任务名称：填写新建的数据库扫描任务名称。

• 执行方式：选择立即执行/定时执行一次/每天执行一次/每周执行一次/每月执行一次。

• 漏洞插件模板：选择数据库漏洞插件模板。

• 执行优先级：当任务达到并发上限时，“排队等待中”级别高的任务将优先执行。可选择高/中/低。

• 检测结束发送邮件：需要在告警配置中配置了邮件网关，多个邮箱可用英文逗号(,)分隔。

• 检测结束发送短信：需要在告警配置中配置了短信网关，多个手机号码可用英文逗号(,)分隔。

• 检测结束发送微信：扫描二维码注册并验证，多个微信号可用英文逗号(,)分隔。

自主选择插件

可对扫描任务使用的插件进行修改，使用“启用”或者“禁用”在漏洞插件的基础上来增删漏洞插件，实现插件库自定义。

探测选项

• 提示扫描目标：在扫描之前提示被扫描主机，需要扫描目标支持 messager 服务。

• 开启存活探测：如果开启，引擎使用如下探测方法进行探测，如果不能确定存活，则不进行检测，提高检测速度；如果不开启，则对所有主机进行漏洞监测，会延长检测时间。

• 主机存活测试：可以复选 ARP、ICMP PING、TCP PING、UDP PING。默认选择前三种。

• 端口扫描范围：

标准：默认端口 4000 多个。

快速：100 个常用端口。

全部：端口 0-65535

指定：

− 单个或范围：如 22,1-1024。

− 指定 TCP 端口：TCP:1024-65535。

− 指定 UDP 端口：UDP:1025-65535。

• 端口扫描方式：

CONNECT 方式为全连接扫描，完成 TCP/IP 的三次握手，速度较慢。

SYN 方式，只需要发送 TCP SYN 包即可完成检测，速度快，建议使用 SYN。

检测选项

• 最大限度报告漏洞：若选择关闭，则将大大提高扫描速率，部分耗时长的规则将跳过执行。

• 执行所有规则检测：若选择开启，检测耗时越久、对检测目标的覆盖面更广。

• 执行相关联漏洞：若选择开启，某些已例外的漏洞将加入到扫描结果当中。

• 保存漏洞检测详情：若选择开启，漏洞的详细打印信息将加入到扫描结果当中。

• 自适应网络：根据网络的反应速度，适当调整发包的速率，从而不至于将网络扫瘫痪，但会影响扫描速度。

• 危险测试：包含一些危险的测试方法，如：拒绝服务检测，导致扫描目标的拒绝服务，因此慎用。

• 停止探测无响应的主机：如果扫描过程中发现扫描目标没有反应，停止对该目标的探测。

• 启用口令破解：使用默认字典对系统或服务的口令进行猜解。

• 测试 Oracle 账号：对 Oracle 数据库进行深度检测。

• 启用 Web 检测：开启则可进行 Web 检测。

• SMB 信息探测：启用则可进行 SMB 信息检测。

引擎选项

• 插件超时：单个插件执行时间最长设置[10-300]。

• 网络时延：网络连接超时设置[10-300]。

• 单个主机检测并发数：针对单个的检测目标，并发的检测插件数量[1-50]。

• 单个扫描任务并发主机数：单个扫描任务并发主机数。

• 单个主机 TCP 连接数：针对单个检测目标，并发的 TCP 连接数量[1-1024]。

• 单个扫描任务 TCP 连接数：单个扫描任务，最多可同时并发的 TCP 连接数[1-1024]。

4. 口令猜解任务

扫描的基本配置

口令猜解任务是基于资产的，首先需要选择资产，自定义任务名称，选择执行方式，选择扫描的服务类型和数据库类型，其中检测模式有两种，标准模式和组合模式，标准模式是指只针对用户名或密码一项扫描，组合模式是针对用户名和密码一起进行扫描。针对字典可以选择系统自带的默认字典也可以自定义按照相应格式上传自定义字典进行扫描，再填写相对应的端口号提交即可。

引擎选项

• 口令猜解速率：对单个服务进行口令猜解的探测速度，值越小，探测速度越慢。值越小，目标主机对引擎的阻断概率越小。

• 最大线程并发数：对单个服务进行口令猜解的并发线程数，值越大，探测速度越快。

4.1.2 任务列表

任务列表模块列出了目前存在的全部扫描任务，并可对任务扫描任务进行各种操作管理。方便用户开启任务和查看每个资产组的主机数，进度栏可显示扫描出的漏洞数，进度栏模块可以查看每个主机的检测进度、历史执行记录和漏洞风险分布情况。

• 任务名称：显示当前任务的名称，格式为用户在添加任务时的命名。

• 执行方式：执行方式分为手动执行、定时执行、每日执行、每周执行、每月执行。

• 开始时间/结束时间：显示当前评估任务的开始和结束时间，对于尚未结束的任务，只显示其开始时间。

• 操作：可以选择立即开始或者禁用当前任务，对于正在执行的任务，可以选择暂停或者停止该任务。

• 检测耗时：可以实时的展示出任务执行检测大致需要的执行时间，执行完成会显示整个任务扫描花费的时长。

• 进度：显示当前任务执行的进度情况，点击进度栏可以查看当前任务的漏洞数，资产组的主机漏洞排名，风险等级分布及历史执行记录。

4.1.3 工作列表

工作列表主要展示了当前开启的任务中正在执行的任务。可以看到该任务的任务名称，开始时间，检测耗时以及执行的进度。也可以对正在执行的任务进行暂停或停止操作。

• 检测对象：显示当前任务中里包含的检测对象。

• 任务名称：显示当前任务的名称，格式为用户在添加任务时的命名。

• 开始时间：显示当前评估任务的开始时间。

• 检测耗时：可以实时的展示出任务执行检测大致需要的执行时间，执行完成会显示整个任务扫描花费的时长。

• 进度：显示当前任务执行的进度情况，如果是 web 扫描可以展示漏洞数，网页数，剩余时间，如果是系统扫描会展示漏洞数，主机数，剩余时间。

• 操作：对于正在执行的任务，可选择停止/强制停止当前任务。

4.1.4 探测未知站点

探测未知站点是扫描 IP 范围内可能存在的 Web 站点。

1.新建探测任务

• 探测端口范围：填写 Web 站点常用的端口及自定义端口。

2. 探测详情

• 转成任务：自动跳转到 Web 漏洞扫描，将探测出的 Web 站点添加到扫描目标中。

• 转成资产：自动添加资产，提交到安全域中。

4.2 资产管理

管理员可以对其在云上已经购买的主机资产，进行风险资产管理，在进行资产风险管理时，首先需要创建资产。通过资产，管理员可以浏览网内全部资产的数量以及资产的安全情况。

对于其中一个资产，单击可以显示资产树，管理员可以通过查看资产树来了解自己的网络资产情况。

• 系统扫描资产

单击系统扫描资产中的资产会显示该资产的资产风险，漏洞详情及资产信息以及系统资产属性。资产风险描述了每个资产不同执行时间段的漏洞数，具体到高、中、低危的风险；漏洞详情描述了每个漏洞的具体信息；资产信息描述了每个资产的主机信息；系统资产属性主要描述了该资产所属的资产名称，及其扫描 IP/域名。

• Web 扫描资产

单击 Web 扫描资产中的一条资产会在页面右边显示出该资产的资产风险，漏洞详情，资产信息，资产属性；资产风险描述了每个资产不同执行时间段的漏洞数，具体到高、中、低危的风险；漏洞详情描述了每个漏洞的具体信息；资产信息描述了每个 Web 资产的详细信息；资产属性主要描述了该资产所属的资产名称，起始 URL，其他 URL，网站域名，扫描根目录，例外 URL，登录认证。其中资产名称，起始 URL，网站域名会扫描完该资产后自动同步，至于其他 URL，网站域名，例外 URL，登录认证，Cookie 认证，Form 认证，Basic 认证，NTLM 认证）需要用户根据资产需要进行自主配置。