应用漏洞检测功能可以检测主流的应用漏洞类型。本文档介绍了如何查看应用漏洞的相关信息和处理应用漏洞。

限制说明

应用漏洞检测功能存在以下限制。

限制项目 限制信息
资产类型 只支持阿里云ECS服务器,不支持非阿里云服务器和IDC服务器。
版本类型 仅云安全中心企业版支持应用漏洞检测,基础版、基础杀毒版和高级版不支持该功能。
注意 云安全中心仅支持检测应用漏洞,不支持修复应用漏洞。您需要根据 漏洞详情页面提供的 修复建议手动修复应用漏洞。

查看漏洞基本信息

  1. 登录云安全中心控制台
  2. 在左侧导航栏单击安全防范 > 漏洞修复
  3. 漏洞修复页面单击应用漏洞页签。
  4. 应用漏洞页面,查看云安全中心检测到的所有应用漏洞。
    应用漏洞

    您可根据需要执行以下操作:

    • 搜索漏洞
      您可在应用漏洞页面通过筛选扫描方式(Web扫描器、软件成分分析)、漏洞处理状态(已处理、未处理)、漏洞危险等级(高、中、低)、资产分组、VPC名称、搜索漏洞名称或输入服务器IP、名称定位到相关的漏洞。 搜索漏洞
    • 查看漏洞公告信息查看应用漏洞漏洞公告
    • 查看漏洞扫描方式
      应用漏洞支持以下扫描方式:
      • Web扫描器:通过检测网络流量识别您系统中的安全漏洞,例如SSH弱口令、远程命令执行。
      • 软件成分分析:通过采集客户端软件版本信息识别您系统中的安全漏洞,例如Apache Shiro授权问题漏洞、Kubernetes kubelet资源管理错误漏洞。
    • 查看漏洞的修复紧急度和影响资产数量
      漏洞的建议修复紧急度用不同颜色的图标表示,图标中的数字表示存在该漏洞的资产数量。
      • 红色图标:表示漏洞修复紧急程度为
      • 橙色图标:表示漏洞修复紧急程度为
      • 灰色图标:表示漏洞修复紧急程度为
      应用漏洞修复紧急度和影响资产
      说明 建议立即修复高危(紧急程度为 )漏洞。
    • 将漏洞加入白名单

      您可在应用漏洞页面,选中需要加入白名单的漏洞并单击加入白名单,将一个或多个漏洞加入白名单中。加入白名单后,云安全中心将不再对白名单中的漏洞进行告警。

      加入白名单的漏洞将从应用漏洞的漏洞列表中移除,并记录在漏洞管理设置页面的漏洞白名单配置列表中。

      如需恢复云安全中心对白名单中漏洞的检测和告警提示,可在漏洞管理设置页面移除该漏洞。

      漏洞白名单配置
    • 导出漏洞

      您可在应用漏洞页面单击导出图标图标,将云安全中心检测到的所有应用漏洞软件统一导出并保存到本地。导出的文件为Excel格式。

      说明 根据您资产中漏洞数据的大小,导出漏洞列表可能需要耗费一定时间,请耐心等待。

查看漏洞详情和处理漏洞

注意 云安全中心仅支持检测应用漏洞,不支持修复应用漏洞。您需要根据 漏洞详情页面提供的 修复建议手动修复应用漏洞。
  1. 登录云安全中心控制台
  2. 在左侧导航栏单击安全防范 > 漏洞修复
  3. 漏洞修复页面单击应用漏洞页签。
  4. 定位到需要查看的漏洞,单击该漏洞的漏洞公告名称或操作列的修复,展开对应漏洞的漏洞详情页面。
  5. 漏洞详情页面,查看漏洞详情并处理漏洞。
    您可根据需要执行以下操作:
    • 查看漏洞详情
      漏洞详情页面可展示该漏洞公告所有关联漏洞,及漏洞影响的所有资产信息,方便您对所有相关的漏洞进行分析和批量处理。您可以查看以下内容:
      • 在漏洞详情页签查看该漏洞公告关联的所有漏洞、漏洞的描述、影响分和漏洞特征信息。
      • 单击待处理漏洞页签,查看漏洞影响的资产列表。

        您可查看该漏洞影响的所有资产和资产漏洞状态等信息,并可对漏洞执行验证、加入白名单、忽略或取消忽略的操作。

      漏洞详情

      单击漏洞列表中影响资产列的目标资产名称,可跳转到资产中心 > 漏洞信息 > 应用漏洞页面,了解该资产中检测到的应用漏洞信息。

    • 查看阿里云漏洞库详细信息

      漏洞详情页面,单击漏洞编号可跳转至阿里云漏洞库。您可在阿里云漏洞库页面,查看该漏洞更加详细的信息,包括漏洞的描述、基本信息、修复建议等信息。

    • 查看漏洞详细状态

      漏洞状态可分为已处理和未处理:

      • 已处理
        • 修复成功:该应用漏洞已成功修复。
        • 已忽略:漏洞已执行忽略的操作,云安全中心将不再对该漏洞进行告警。
      • 未处理
        • 未修复:漏洞待修复。
        • 验证中:执行验证操作后,漏洞状态将变为验证中。
        说明 应用漏洞列表默认为您展示所有 未处理的应用漏洞。
    • 验证漏洞

      您根据漏洞详情页面的修复建议手动修复漏洞后,需要执行验证查看漏洞是否已被修复。您需要定位到需验证的漏洞,并单击其操作列下的验证

      对漏洞进行验证后,漏洞的%;状态会变更为验证中。需要等待数秒才可完成漏洞验证。

      漏洞验证完成后有以下两种结果:
      • 验证成功:该漏洞的状态将变为已修复,您可以在已处理的漏洞列表中查看该漏洞。
      • 验证失败:该漏洞的状态将变为未修复,说明该漏洞未修复。建议您排查漏洞修复失败原因,及时处理该漏洞。
    • 忽略漏洞

      如果某漏洞无需关注,您可以忽略该漏洞。您可以定位到需忽略的漏洞,并单击其操作列下的忽略。忽略操作执行完成后,云安全中心将不再提示该漏洞。

      说明忽略漏洞的状态将转为 已忽略。如需云安全中心继续对该漏洞进行告警提示,可在 已处理的漏洞列表中找到该漏洞并对其 取消忽略

支持检测的应用漏洞类型

应用漏洞类型 检测项
系统服务弱口令 OpenSSH服务
MySQL数据库服务
MSSQL数据库服务
MongoDB数据库服务
FTP、VSFTP、ProFTPD服务
Memcache缓存服务
Redis缓存服务
Subversion版本控制服务
SMB文件共享服务
SMTP邮件发送服务
POP3邮件接收服务
IMAP邮件管理服务
系统服务漏洞 OpenSSL心脏滴血
SMB
  • Samba
  • 弱口令暴力破解
RSYNC
  • 匿名访问导致敏感文件信息
  • 认证密码暴力破解
VNC密码暴力破解
pcAnywhere密码暴力破解
Redis密码暴力破解
应用服务漏洞 phpMyAdmin弱口令检测
Tomcat控制台弱密码检测
Apache Struts 2远程命令执行漏洞
Apache Struts 2远程命令执行漏洞(S2-046)
Apache Struts 2远程命令执行漏洞(S2-057)
ActiveMQ CVE-2016-3088任意文件上传漏洞
Confluence任意文件读取漏洞
CouchDB Query Server远程命令执行
Discuz!后台管理员弱口令破解
Docker未授权访问漏洞
Drupal Drupalgeddon 2远程代码执行CVE-2018-7600
ECshop登录接口代码执行漏洞
Elasticsearch未授权访问
Elasticsearch MvelRCE CVE-2014-31
Elasticsearch Groovy RCE CVE-2015-1427
泛微OA表达式注入
Hadoop YARN ResourceManager未授权访问
JavaServer Faces 2目录遍历漏洞
JBoss EJBInvokerServlet Java反序列化漏洞
Jenkins Manage匿名访问CVE-2018-1999001、CVE-2018-1999002
Jenkins未授权访问
Jenkins Script Security Plugin RCE
Kurbernetes未授权访问漏洞
MetInfo getPassword接口存在SQL注入漏洞
MetInfo login接口存在SQL注入漏洞
PHPCMS 9.6任意文件上传漏洞
PHP-CGI远程代码执行
Actuator unauth RCE
ThinkPHP_RCE_20190111
WebLogic UDDI Explorer SSRF漏洞
WordPress xmlrpc.php存在SSRF漏洞
Zabbix Web控制台暴力破解
OpenSSL心脏滴血检测
Apache Tomcat WEB-INF配置文件未授权访问