开通漏洞扫描服务后,您首先需要将网站资产以IP或域名的形式添加到漏洞扫描服务中并完成域名认证,才能进行漏洞扫描。
如果您的网站中存在需要登录才能访问的网页,还需要配置网站登录信息(“账号密码登录”和“cookie登录”两种登录方式),VSS才能为您更好的检测网站安全问题。
说明如果您在添加域名时,提示“当前套餐可新增域名已达到上限”,无法添加域名时,可参照以下方法进行处理:
参照域名配额扩容进行域名配额扩容,购买“扫描配额包”,“扫描配额包”必须大于当前版本已有的配额。
如果您的资产列表有不需要防护的域名,建议删除后再添加新的域名。
前提条件
已获取管理控制台的登录帐号与密码。
操作步骤
步骤 1 登录管理控制台。
步骤 2 在左侧导航树中,单击
,选择“安全 > 漏洞扫描(专业版)”,进入漏洞扫描服务页面。
步骤 3 在“资产列表 > 网站”页签,单击“新增域名”,进入添加域名入口。
步骤 4 在弹出的对话框中,添加“域名/IP地址”,设置“域名别称”,如下图所示。
域名别称:帮助用户识别自己的域名地址,您可以填写任意方便您识别网站域名的名称。
新增域名
步骤 5 单击“确认”,进行域名所有权认证。
说明如果暂时不进行域名所有权认证,可关闭对话框,后续参照域名认证章节完成域名认证。
如果待检测站点的服务器搭建在云上,且该服务器是您当前登录帐号的资产,才可以选择“一键认证”的方式进行快速认证,否则只能选择“免认证”的方式进行认证。
免认证,仔细阅读下图中的使用须知,确认符合条件后,完成域名认证。
免认证方式
一键认证,如下图所示。
单击“完成认证”,进行域名认证,执行完成后,该域名的状态为“已认证”。
步骤 6 如果域名认证成功,页面跳转到“网站设置”页面,参照下表完成网站信息配置,如下图所示。
说明如果网站中存在需要登录才能访问的网页,进行登录设置后,VSS能够为您更好的检测网站安全问题,后续也可以参照编辑域名进行配置。
VSS提供了“账号密码登录”和“cookie登录”两种登录方式,为了提高登录成功率,建议您配置两种登录方式。
网站登录设置
网站登录页面参数说明
参数名称 参数说明 样例 “登录方式一:账号密码登录” 登录页面 网站登录页面的地址。 https://auth.example.com/ 用户名 登录网站的用户名。 vsstest 密码 对应用户名的密码。 -- 确认密码 再次输入用户名的密码。 -- “登录方式二:cookie登录” 如果网站登录需要动态验证码才能登录成功,此时必须配置“cookie登录”方式。 cookie值 输入登录网站的cookie值。 domain_tag “网站登录验证” 验证登录网址 登录成功后才能访问的网址,便于VSS快速判断您的登录信息是否有效。 https://console.example.com/ 高级配置 自定义Header 配置HTTP请求头部。最多可添加5个自定义HTTP请求头。 当待扫描的网站需要请求中附带特殊的HTTP请求头时,可以通过自定义Header进行设置。 --
步骤 7 单击“确认”。
后续操作
网站登录方式设置完成,您还需要创建扫描任务,详细操作请参见创建扫描任务。
