AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 云安全中心 操作指南 风险治理 漏洞管理 扫描漏洞

扫描漏洞

更新时间:
产品详情
我的收藏
重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

安全漏洞是网络攻击者入侵的主要途径,可能导致数据泄露或业务中断。云安全中心提供漏洞扫描能力,可发现资产中的Linux软件漏洞Windows系统漏洞Web-CMS漏洞应用漏洞应急漏洞,用于在攻击发生前识别并修复风险,提升系统安全性。

漏洞扫描机制

云安全中心采用以下两种手段进行漏洞检测:

  • 软件成分分析(被动检测):通过云安全中心客户端采集服务器上的软件版本、依赖库等信息,与漏洞库进行比对。此过程仅分析软件元数据,不会对业务系统造成性能影响。

  • Web扫描器(主动验证):通过公网向应用服务发送特定的验证请求(POC),模拟攻击行为以确认漏洞是否存在。此方式可用于检测远程命令执行、SQL注入等高风险漏洞。所有请求均为无害化探测,不会对系统造成实际破坏。

    说明

    位于新加坡数据中心的全球(不含中国)区域资产暂不支持使用 Web 扫描器功能。

适用范围

  • 包年包月服务

    版本

    手动扫描漏洞

    自动扫描漏洞(周期性)

    企业版旗舰版

    全部

    高级版

    应用漏洞外的所有漏洞。

    免费版增值服务版防病毒版

    应急漏洞

    Linux软件漏洞Windows系统漏洞Web-CMS漏洞

  • 按量付费服务

    防护等级

    手动扫描漏洞

    自动扫描漏洞(周期性)

    主机全面防护主机及容器全面防护

    全部

    未防护病毒防护

    应急漏洞

    Linux软件漏洞Windows系统漏洞Web-CMS漏洞

配置网络白名单

为确保Web扫描器能够正常访问服务器并执行主动验证(POC),需将云安全中心的扫描IP地址段47.110.180.32/27(即47.110.180.32~47.110.180.63)加入安全组和网络防火墙的白名单中。

重要

  • 如果未将云安全中心的扫描IP地址添加至白名单,Web扫描器的主动验证请求可能会被拦截,导致应用漏洞和应急漏洞无法被检出,或被误报为攻击行为。

  • POC验证请求中可能包含辅助域名s0x.cn(用于应用漏洞和应急漏洞检测),若因此产生告警,请直接忽略本次告警或设置告警加白规则

配置安全组

如果服务器为阿里云ECS,具体步骤请参见管理安全组。配置参数如下:

  • 方向:入方向

  • 授权策略:允许

  • 协议类型:TCP

  • 端口范围:1-65535

  • 授权对象:47.110.180.32/27

配置防火墙白名单

若服务器使用的是阿里云Web应用防火墙,具体步骤请参见设置白名单规则放行特定请求。配置参数如下:

  • 匹配字段:IP

  • 逻辑符:属于

  • 匹配内容:47.110.180.32/27

  • 不检测模块:全部

执行漏洞扫描

云安全中心提供两种扫描方式:

  • 手动扫描:用于立即评估服务器的漏洞状况。

  • 自动扫描(周期性):通过设置周期性任务,实现对漏洞的自动化、常态化监控。

说明

启动扫描后,系统将生成扫描任务,并在后台运行,可在任务管理中查看扫描进度及结果报告。

手动扫描

  1. 登录控制台

    登录云安全中心控制台在左侧导航栏,选择风险治理 > 漏洞管理。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 执行扫描

    漏洞管理页面,单击一键扫描(全量服务器)。在弹出的漏洞扫描对话框中,勾选需要扫描的漏洞类型,然后单击确定

    说明

    若需要指定服务器进行扫描,请前往主机资产功能页面,勾选相应服务器。选择下方安全检查,在弹框中选择漏洞检测

自动扫描(周期性)

自动扫描采用两种不同的周期机制:

  • 系统默认周期(不可配置)

    • 适用漏洞:Linux软件漏洞Windows系统漏洞Web-CMS漏洞

    • 默认扫描周期:

      • 包年包月服务

        • 高级版企业版旗舰版:每天扫描一次。

        • 免费版增值服务版防病毒版:每两天扫描一次。

      • 按量付费服务

        • 主机全面防护主机及容器全面防护:每天扫描一次。

        • 未防护病毒防护:每两天扫描一次。

  • 用户自定义周期:

    • 适用漏洞:应用漏洞应急漏洞

    • 适用版本:

      • 包年包月服务高级版企业版旗舰版

      • 按量付费服务主机全面防护主机及容器全面防护

配置步骤如下:

  1. 登录控制台

    登录云安全中心控制台在左侧导航栏,选择风险治理 > 漏洞管理。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 漏洞管理页面右上角,单击漏洞管理设置。根据需求进行配置:

    配置项

    功能说明

    漏洞扫描开关

    控制各类漏洞Linux软件漏洞Windows系统漏洞Web-CMS漏洞应用漏洞应急漏洞扫描是否启用,开启后,可单击右侧管理,指定该类型漏洞的扫描范围(生效服务器)。

    YUM/APT源配置

    开启后,修复Linux 漏洞时将优先使用阿里云官方 YUM/APT 源,显著提升修复成功率。

    应急漏洞扫描周期

    设置应急漏洞扫描任务的执行频率。

    • 默认扫描时段:

      • 中国区域 00:00:00(UTC+8) 至 07:00:00(UTC+8)

      • 全球(不含中国)区域: 00:00:00(UTC+7) 至 07:00:00(UTC+7)

    • 适用版本/防护等级:

      • 包年包月:高级版企业版旗舰版

      • 按量付费:主机全面防护主机及容器全面防护

    应用漏洞扫描周期

    设置应用漏洞扫描任务的执行频率。

    • 默认扫描时段:

      • 中国区域 00:00:00(UTC+8) 至 07:00:00(UTC+8)

      • 全球(不含中国)区域:采用错峰调度机制,在24小时内分时段执行。

    • 适用版本/防护等级

      • 包年包月:企业版旗舰版

      • 按量付费:主机全面防护主机及容器全面防护

    失效漏洞自动删除

    设置失效漏洞的数据清理周期。

    系统会将长期未复现且未处理的漏洞置为“失效”,并自动归档至“已处理”列表。在达到设定的失效漏洞自动删除清理周期后将其永久删除,以减少信息干扰。

    说明

    后续当云安全中心再次检测出同类漏洞时,仍会产生告警。

    漏洞扫描等级

    设置关注的漏洞风险等级,系统将仅扫描并告警符合所选等级的漏洞。

    漏洞白名单配置

    将确认无需处理的特定漏洞(例如,业务特殊需要或风险可接受)加入白名单,使其在后续扫描中被自动忽略。

    说明

    添加漏洞白名单规则后,可以在漏洞管理设置漏洞白名单配置进行管理(编辑和删除)。

查看扫描任务

  1. 漏洞管理页面右上角单击任务管理

  2. 单击任务操作列的详情按钮,可查看本次扫描任务的影响数据(影响主机台数执行成功主机数执行失败主机数)。

  3. 若服务器扫描成功,可在状态列查看扫描的漏洞范围。若扫描失败,可在状态列查看失败原因。

查看和处理漏洞

漏洞管理相应漏洞页签下,进入目标漏洞详情页并根据指引进行修复。修复步骤请参见查看和处理漏洞

警告

应用漏洞应急漏洞不支持通过控制台一键修复,需根据漏洞详情中提供的修复建议,登录服务器进行手动修复。

服务模式

服务版本 / 防护等级

说明

包年包月服务

企业版旗舰版

支持修复Linux软件漏洞Windows系统漏洞Web-CMS漏洞

高级版

支持修复Linux软件漏洞Windows系统漏洞

免费版增值服务版防病毒版

重要

需单独购买的漏洞修复增值服务功能,才能开通一键修复功能。开通步骤请参见购买漏洞修复(包年包月)购买漏洞修复(按量付费)

支持修复Linux软件漏洞Windows系统漏洞

按量付费服务

所有防护等级

配额与限制

  • 任务管理:手动扫描任务创建后,需等待15分钟才能在任务管理中手动停止扫描

  • 扫描耗时:扫描任务的完成时间取决于资产数量和漏洞复杂度,通常可在30分钟内完成。

常见问题

扫描行为与结果问题

  • 为何同一台机器报告多个相同漏洞?

    应用漏洞检测以具体运行的进程实例为检测对象,如果服务器上运行了多个存在相同漏洞的进程实例(例如,在不同端口上启动了两个相同的 Tomcat 服务),系统将为每个进程实例分别报告一个漏洞。如果服务器上仅安装了含漏洞的软件但其对应进程未运行,则不会检测出该漏洞。

  • 为何Fastjson 这类漏洞扫描结果可能不一致?

    此类漏洞的检测依赖于其组件(如 JAR 包)是否在扫描期间被加载至运行时状态。在动态加载模式下,只有当包含漏洞的组件被业务逻辑实际调用时,漏洞才能被有效识别。因此,不同时间点的扫描结果可能存在差异。

    说明

    为提升此类漏洞的检测准确率,建议执行周期性或多次扫描。

  • 客户端离线后,为何控制台仍然显示该主机的漏洞记录?

    客户端离线后,已检测出的漏洞记录会保留在云端控制台,但这些记录会自动失效且无法进行相关操作(如修复、验证或清除记录)。漏洞自动失效周期如下:

    重要

    所有数据仅在云安全中心服务到期且超过7天未续费的情况下才会被彻底清除。

    • Linux软件漏洞Windows系统漏洞:3天后失效。

    • Web-CMS漏洞:7天后失效。

    • 应用漏洞:30天后失效。

    • 应急漏洞:90天后失效。

性能影响与安全性问题

  • 漏洞扫描或应急漏洞的主动验证(POC)会影响业务系统吗?

    通常无影响。云安全中心的主动验证(POC)仅发送极少量(1-2个)的无害化探测请求,不执行任何形式的攻击或破坏性行为。若目标应用对非预期输入的处理逻辑极其脆弱,极端情况下存在微小的未知风险。

  • 漏洞扫描为何会触发内存超限(OOM)?

    云安全中心客户端设置内存限制(默认200MB)。扫描占用超过限制值时,系统OOM机制会主动终止检测进程(ALiSecCheck),以节省资源。

    说明

    • 此限制通常是由名为aegisRtap0 的控制组 (cgroup)管理,相关OOM信息可于 dmesg 日志中查询。

    • 此现象属于正常行为,与系统内存不足无关,无需用户干预。

    • 这种 OOM 是由控制组的内存限制导致的,并不意味着整个系统的内存不足。

扫描范围与能力问题

  1. 漏洞扫描覆盖哪些范围?

    扫描同时覆盖系统和应用两个层面:

    • 系统层面:Linux 软件漏洞、Windows 系统漏洞。

    • 应用层面:Web-CMS 漏洞、应用漏洞、应急漏洞。

  2. 如何查看云安全中心支持检测的漏洞列表?

    1. 登录云安全中心控制台

    2. 在左侧导航栏,单击漏洞扫描,进入漏洞扫描页面。在概览部分,找到 已支持漏洞 的统计卡片。

    3. 单击该卡片上显示的漏洞总数,即可进入列表页面,查看所有支持检测的漏洞及其详细信息。

  3. 是否支持 Elasticsearch 等特定漏洞的检测?

    支持 可以在控制台的应用漏洞页面查看 Elasticsearch 等服务的漏洞检测结果。

    说明

    此功能仅支持包年包月服务企业版旗舰版)和按量付费服务主机全面防护主机及容器全面防护)。如果当前的版本不支持此功能,请先升级

上一篇:什么是漏洞管理下一篇:查看和处理漏洞