完成扫描任务创建后,您可以管理任务实例和漏洞风险。

前提条件

已创建扫描任务。具体操作请参见创建扫描任务

操作步骤

  1. 登录漏洞扫描系统控制台
  2. 在左侧导航栏,单击任务实例,根据需要执行以下操作。
    • 查看/搜索/筛选任务实例
      • 您可以在任务实例列表页面,看到当前根据扫描任务,所创建的任务实例列表及对应相关信息。
        0
        其中,漏洞数列显示不同危害等级的漏洞数量。关于漏洞危害等级的定义,请参见下表描述。
        等级 描述
        高危 可以直接被利用的漏洞,且利用难度较低。被攻击之后可能对网站或服务器的正常运行造成严重影响,或对用户财产及个人信息造成重大损失。
        中危 被利用之后,造成的影响较大,但直接利用难度较高的漏洞。或本身无法直接攻击,但能为进一步攻击造成便利的漏洞。
        地危 无法直接实现攻击,但提供的信息可能让攻击者更容易找到其他安全漏洞。
        信息 本身对网站安全没有直接影响,提供的信息可能为攻击者提供少量帮助,或可用于其他手段的攻击,如社工等。
      • 您可以根据需求,在搜索栏,输入IP/域名/任务名,定位到对应任务实例。显示的列表信息会根据扫描开始时间,对任务实例进行排序。
        1
      • 您还可以根据状态筛选栏,筛选不同状态类型的任务。支持多种实例状态(等待中运行中已停止已完成暂停中)的筛选;支持与搜索栏IP/域名/任务名叠加检索。
        2
    • 查看任务实例详情
      1. 您可以在任务实例列表页,单击实例名称/扫描目标,进入任务实例详情页。
        3
      2. 您可以在任务实例详情页面,查看任务实例详细运行数据。
        • 实例概览:包含任务实例运行概要信息,任务状态信息,及风险统计信息。
        • 攻击面:主要包含任务实例对资产进行扫描的攻击面数据项(域名、子域名、端口服务、Web 应用等)。
        • 风险概况:主要包含任务实例运行所发现的风险聚合信息。

        4
    • 查看和导出攻击面数据详情

      您可以从任务实例详情的攻击面部分进入数据项的详情页面。数据项包含以下几种:域名子域名DNS解析记录主机列表端口服务Web应用Web服务器Web路径爬虫流量

      单击相应数据项详情按钮,进入对应数据详情页,了解攻击面数据详情。
      5
      • 域名攻击面数据
        6
      • 子域名攻击面数据
        7
      • 端口服务攻击面数据
        您可以查看对应主机开放的端口服务详情。
        8
      • Web应用攻击面数据
        您可以查看对应站点的Web应用(CMS/Framework 等)的数据。
        9
      • 其他数据项

        您可以参照以上示例查看其他数据项攻击面数据。

      • 导出攻击面数据

        您可以导出CVS格式的攻击面数据列表。

        1. 单击对应数据项攻击面数据详情列表右上角导出,界面显示导出中
          10
        2. 然后刷新页面,可以查看最新导出状态。当后端导出任务完成时,界面显示下载,单击下载导出数据。
          11
          已导出CSV 格式数据示例如下,您可以导入自己的数据系统,进行相应分析。
          12
    • 查看风险资产详情
      • 您可以从任务实例详情页面,进入风险资产列表,并进入风险资产详情页面。

        风险概况从域名/IP维度,对包含风险的资产,进行全面审计,帮助您进行更细粒度的风险管理。


        13
      • 您可以在风险资产列表侧边栏,单击主机(IP)项,进入风险主机详情页,查看风险主机详情。
        风险主机详情页面,包含主机和攻击面数据项(Web 路径、端口服务、爬虫流量、Web 应用)相关数据。
        14
      • 您可以在风险资产列表侧边栏,单击域名(Domain)项,进入风险域名详情页,查看风险域名详情。
        15
        风险域名详情页面,包含域名相关详情,和攻击面数据项(Web 路径、Web 服务器、爬虫流量、Web 应用)相关数据。
        16
    • 查看漏洞详情页

      您可以从任务实例详情页和风险资产(主机/域名)详情页,两个维度进入漏洞详情页,对相关漏洞风险进行审核处理。

      • 实例详情维度
        1. 在任务实例详情页,风险概况部分,单击任意漏洞名称,进入漏洞详情侧页面。
          17
        2. 漏洞详情页,会显示这个任务实例维度下,该漏洞类型漏洞条目聚合的结果,及对应处理状态。
          18
        3. 单击左侧的展开按键,会显示漏洞条目的具体漏洞证明详情。您可以依次进行漏洞验证和复现。
          19
      • 风险资产维度:同任务实例详情页操作类似,单击任意漏洞名称,即进入漏洞详情侧页面。

        该页面会聚合在此任务实例下资产的漏洞详情,更进一步细粒度聚合,帮助您提升漏洞处理效率。


        20
    • 任务检测项详情
      1. 您可以在任务实例详情页,单击实例概览 > 实例信息 > 检测项,进入检测项详情页,查看对应任务实例的检测步骤详情。
        21
      2. 检测项详情页,主要包含整个任务实例运行的所有检测项。您可以通过该页面查询所关注的检测项(如 Redis、Hadoop、MongoDB 等中间件)类型,及对应检测项是否包含风险等。
        22
    • 安全评估报告

      您可以生成并下载安全评估报告至本地,便于本地查看分析。

      1. 您可以在任务实例页面,单击报表栏下的生成,生成任务实例对应的安全评估报告。
        23
      2. 报告生成完成后,单击下载
        24
      3. 解压下载的安全评估报告ZIP包,打开index.html文件,即可浏览报告详情。
        25