编辑者: 发布时间:2018-04-04 点击次数:
介绍
为提高网站的安全性,加快各管理员对各自的服务器和网站的自查、整改和验证效率,提高设备利用率,现开放漏洞扫描工具供大家使用。
注意事项
1.请只对自己的服务器和网站发起漏洞扫描,对未授权的网站发起扫描等尝试攻击也是违法的。请勿对厦门大学IP以外的任何网站发动扫描。
2.托管在Webpro网站群的网站对服务器和网站都无需扫描。托管在ASP、ASP.Net、Linux虚拟主机上的可以不用扫描服务器,但是对网站需要扫描。
3.漏洞扫描的账户名和密码请勿共享给任何人。系统管理员可能不定期回收账户。
4.为防止对网站正常访问造成影响,请在网站访问量较低时扫描,比如下班后。
5.有多个IP需要扫描可以放在一个任务里进行,如果数量太大,建议做一个定时任务凌晨执行,避免对系统资源占用太大影响他人正常使用。
6.漏洞扫描有可能对数据造成破坏,请在扫描之前备份自己服务器的数据。
7.漏洞扫描可能被服务器的安全软件拦截,请尝试给安全软件加白名单扫描和不加白名单分别扫描。
8.扫描完请尽快下载HTML或者Word报告保存,系统管理员有可能不定期清理任务。
9.漏洞扫描结果可能误报,扫描结果仅供参考,扫描结果为安全也不一定确实安全。
请认真阅读以上注意事项
申请指南
请有超过一定数量服务器和网站的加群申请账户。提供
账号(姓名的全称,全小写):
姓名:
单位:
允许登录IP,你个人电脑的IP地址:
预扫描的IP网段:
预扫描的网站URL列表(可不提供):
申请完会得到
服务器地址
账户名和密码
使用说明
试运行期间请勿删除你的扫描任务以便信息与网络中心评估试运行效果。
服务器扫描使用说明
扫描比较耗费系统资源,请谨慎使用。
服务器扫描
选择评估任务。
扫描目标中填入IP或者域名,如果数量较多可以使用文本文件格式导入,格式和问号提示中一样,IP和域名不能混合输入。
执行方式选择立即执行。
漏洞模板中选择相应漏洞模板或者使用默认的自动匹配扫描模板。
在IP列表中可以编辑详细信息,之前选择了服务器或者数据库等需要认证才能扫描的类型需要在这里输入用户名密码并选择相应登录协议,完成后点击登录验证来确认是否可以正常登录。如果需要Oracle深度扫描可以在下方启用,同时需要在高级选项中勾选启用oracle漏洞深度扫描。在配置模板中可以选择对应的版本,如果没有则保持默认不使用模板。
口令猜测可以和评估任务同时进行,也可以单独进行。
任务报表中除自动生成报表外建议保持默认值。
在高级选项中可以对扫描任务进行进一步的定制,如无特别需求,保持默认即可。
如果扫描服务器端口请选择指定端口1-65535。
扫描完成之后在任务列表中可以看到执行完成的任务,点击名称进入可以查看详细内容,在各子页面下方可以输出报表并保存,建议选择HTML格式。
在扫描结果中的主机信息中可以点击IP看到相应主机的详细信息
口令猜测
选择口令猜测任务。
扫描目标中填入IP,现在想猜测的口令类型即可。
网站扫描
选择Web应用扫描
扫描目标中填入http或者https开头的域名。
扫描范围中选择想要扫描的范围。
执行方式可以选择立即执行或者定期执行。
漏洞模板中选择相应漏洞模板或者使用默认的自动匹配扫描模板。
如果需要认证才能进行扫描,勾选启用认证配置,填入相应认证信息。
如果需要代理才能连接待扫描站点,则需启用代理配置,填入相应信息。
想预防扫描任务异常,可以勾选调试模式,记录任务的执行信息,但是会降低执行效率,如无特别需求不建议勾选。
任务报表中除自动生成报表外建议保持默认值。
在高级选项中可以对扫描任务进行进一步的定制,如无特别需求,保持默认即可。
在扫描结果的站点列表汇总可以点击域名看到相关网站的详细信息
