- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath SysScan-S[M][A][V]漏洞扫描系统
用户FAQ
Copyright © 2022新华三技术有限公司版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
在什么情况下,漏扫扫描Windows系统时能获得更多的信息?
系统运行一段时间后,发现部分系统日志和操作日志不见了,为什么?
使用端口扫描或者密码破解时,偶尔会出现扫描时间过长和破解密码时间过长的情况,此时点击关闭,界面一直处于正在关闭中,等待很长时间都没有关闭,出现这种情况怎么解决?
使用ping监测时,目标IP选择网段形式,检测结果有漏检和多检
试用版license无法修改系统时间,vmware和cas上安装SysScan-V型号漏扫时间不对的情况下怎么解决?
按照安装手册安装SysScan-V,安装结束一直处于centos界面或全黑界面,没有跳转到login界面怎么处理?
使用VMwareClient端安装存在兼容性问题,需要选择兼容性ESXi6.0及以下的版本,否则会造成扫描引擎异常等问题
版本升级后使用MIB Browser读取节点信息,显示还是上个版本信息
已经打补丁解决的数据库或者中间件漏洞,再次扫描仍能扫描出打补丁前漏洞
登录系统,点击页面右上角的“
”按钮,则会显示系统的版本信息,包括扫描引擎的版本和规则库的版本以及更新日期。
系统在可以访问互联网的情况下,可以访问在线更新服务器,进行在线更新,如果有新版本,系统将会根据用户自己的设置显示是否提醒可升级版本。
请分别检查以下内容:
· 确认授权未过期。
· 确认已配置DNS及网关。
· 确认默认的升级地址没有被更改。
授权过期后用户将无法进行升级操作,正式版本不影响漏扫的正常使用,试用版本需要重新导入授权才能正常使用。如需升级版本,联系技术人员重新导入授权。
在同网段中,PC的IP地址与配置管理IP地址必须同属这一网段;在不同网段中,需要在漏洞扫描设备上添加相应的路由,确保与PC连通。
漏扫管理口有两个IP地址,用户设置IP和内置固定IP。用户设置IP可以修改,用户可以根据网络环境设置IP地址;内置固定IP是系统默认的,不能修改,用于配置漏扫网络。
系统默认内置固定IP是192.168.0.1,可以通过PC或笔记本直连访问漏扫页面,修改其网络配置。
系统内置账户包括admin\audit\scan\security四个账户,对应的角色分别为系统管理员、审计管理员、扫描管理员、安全管理员,以下密码为默认密码,建议修改,避免安全隐患。
系统管理员:admin 密码:admin。
安全管理员: security 密码:security。
审计员:audit 密码:audit。
操作员:scan 密码:scan。
检查是否为跨网段扫描,中间可能有防火墙、IPS等设置将漏扫发送的数据包丢弃。建议修改网络设备配置,漏扫发送的数据包都设置为放行。
请分别检查以下内容:
· 目标是否关闭了防火墙,关闭防火墙能获得更多信息。
· 需要猜测到具有管理员权限操作的用户口令。
· 能扫描本地漏洞的前提是:
¡ 在服务列表中开启“可远程访问注册表”服务-Remote Registry。
¡ Windows 2000/2003/2008的帐号配置方面需要配置一个具有脆弱帐号的Administrator权限帐号。此时还需要在本地安全策略-安全选项中,开启匿名SID转换。
¡ Windows XP/7/8同样需要配置一个具有脆弱帐号的Administrator权限帐号。
同时,需要做以下两个配置:
· 在本地安全设置中,进入安全选项>网络访问>本地账户的共享和安全模式,设置为经典模式。
· 在本地安全设置中,进入本地策略>用户权利指派,在拒绝网络用户访问这台计算机的列表中删除Guest帐号。
系统漏扫要进行深度扫描,需要新建任务时设置目标认证信息,在填写完〈扫描目标〉后,会自动出现认证设置,认证设置支持SMB、SSH、TELNET、SNMP四种协议的认证,通过认证设置可以提高扫描精确度与深度,支持【导入认证】与【手动添加】两种设置方式。【导入认证】提供认证模板下载,根据模板格式填写相应的信息即可导入;〈手动添加〉通过下拉菜单选择目标地址,输入端口、用户名、密码等信息,完成添加认证。
大致有以下几方面原因:
· 有防火墙。
· 端口扫描范围设置过大。
· 扫描策略多。
· 主机并发数和扫描进程数量大。
目标主机或网站可以正常访问,但是不能被扫描。
请检查以下内容:
· 确认产品可扫描IP数是否充足,IP列表是否有该主机或网站的记录。
· 确认任务所属用户的可扫描IP地址和URL地址是否有限制。
暂停后,继续扫描该任务的起始时间仍为任务最初开始执行的时间。
请检查以下内容:
· 确认已配置SMTP,该邮箱是否开启SMTP服务。
· 确认已配置DNS及网关。
系统扫描任务、Web扫描任务和数据库扫描任务支持导出任务和报表下载。
在无手动删除的情况下,查看是否超过了保存该日志的时间。
由于漏洞扫描会对目标站点的应用输入点进行各类测试,发送各类有可能导致应用异常的请求,如果目标站点的设备性能不佳,难以承载约十几人同时访问的流量压力,则最好与网站管理员协商在非业务时段进行扫描,或通知扫描人员降低扫描线程。
如果被扫描网站有Web 应用防火墙等防护措施,监测平台则只能扫描评估目标站点的防护能力,如果需要检测目标站点代码层根源应用漏洞,则还是需要Web 应用防火墙或抗DDOS 等设备中开放平台的扫描IP,允许其所有请求访问网站。
同一个任务下添加多个扫描目标,扫描目标是根据协议头+IP+端口号来区分的,如http://192.168.1.118/test 和http://192.168.1.118/app 会被认为是同一目标,不允许重复添加。
扫描一些需要登录后才能继续访问的网站目标时,就需要进行cookie录制,因为用cookie录制更准确且效率高并能访问到更多的网页。
录制步骤:
首先需要下载web漏扫专用的内置浏览器,如果已经下载并且是最新的内置浏览器则不需要再重复下载。下载步骤:新建一个任务,填写扫描的目标,然后点击
画红线的下载按钮则就会进入帮助中心页面,再点击下载相应的内置浏览器,一般建议下载64位的版本的浏览器。
解压下载的包,双击
以打开浏览器。
在地址栏输入要录制cookie的目标URL,回车并进行cookie录制。
用户登录到目标站点进行扫描录制,点击“完成并复制”按钮。
注意点:“完成并复制”按钮下面的红色条目表示会话Cookie,在关闭浏览器里此类Cookie将会被删除。若使用了Cookie录制且存在会话Cookie,在任务结束前,最好不要关闭浏览器和相关标签页,关闭可能会产生不可预估的结果。
将保存好的录制粘贴到下表对应的项
手动扫描是用户通过手动点击浏览器浏览web页面,扫描器会把符合项目扫描参数配置的URL添加到已扫描到的URL列表中。
检查通讯配置,通讯地址是否是当前访问的扫描器IP地址,如果不是则需要改成当前访问的扫描器IP地址。
创建扫描任务,执行计划选择“暂不执行”。
输入扫描目标URL,选择扫描类型:“主动扫描”。
保存后,查看任务列表,点击任务右侧的手动爬行图标。
复制URI内容到剪贴板(一次只限一条)
将复制好的URI内容粘贴到内置浏览器的地址栏,并回车;通过内置浏览器用户进行手动点击想要检测页面的URL,点击“提交”按钮,扫描器自动保存所有手动爬行的URL(即保存提交按钮下面的选择下面的URL链接)
点击运行扫描任务,则开始了手动爬行的扫描任务。
主动扫描是系统根据输入的目标URL主动的去探测目标网站存在的URL并进行扫描;被动扫描则是根据用户想要扫描的网站URL进行扫描,用户可以自行挑选需要扫描的URL进行扫描。
同一时刻只准一个相同目标的URL在进行被动扫描或手工爬行的浏览器上操作。
之前对目标A网站进行过被动扫描或手工爬行,现在又对目标A网站进行被动扫描或手工爬行任务,则需要确定下之前的扫描是否已经完成,如果完成了可以再对该目标A网站进行被动扫描或手工爬行但最好需要按下浏览器上被动扫描或手工爬行的“清空任务数据”,确保之前的扫描对本次扫描没有影响;如果没有完成则不应该对该目标再进行被动扫描或手工爬行任务。
同一用户多个登录执行端口扫描或密码破解偶尔会出现这个问题,解决方案只能是单用户登录,防止同一用户多个登录。
同一用户多个登录执行ping会出现误报,解决方案只能是单用户登录,防止同一用户多个登录。
CAS上解决方法:选择漏扫系统,单击修改虚拟机,在概要/高级设置中将系统时钟修改为本地时钟,点击应用后,重启漏扫系统,可查看系统时间和cas系统时间一致。
Vmware上解决办法:选择漏扫系统,右击选择编辑设置,在选项/引导选项中勾选“虚拟机下次引导时,强制进入BIOS设置屏幕”。
点击确定后,开启电源,进入BIOS界面,修改系统时间,保存配置重启系统后配置生效。
可以尝试按Tab键,如果跳转到login界面证明已经安装完成;若未跳转,此时处于数据库导入状态,需继续等待安装。
目前漏扫系统兼容ESXi6.0及以下的版本,无法兼容ESXi6.5及以上版本,否则会造成扫描引擎异常,系统循环重启等问题。
系统升级后需要禁用、启用下SNMP服务,再次读取节点信息,会显示最新版本号。
可配置扫描参数,在[主机扫描参数>端口参数>TCP端口参数]中配置扫描超时时间长些,另可选择tcpconnect(开放扫描)方式进行扫描。
请检查以下内容:
· 确认基线核查的扫描目标是否配置认证,若未认证将无扫描结果,需要将扫描目标配置认证参数后再扫描。
· 应用程序和数据库的路径填写是否正确,路径错误可能会影响核查结果。
请检查以下内容:
· 添加扫描目标后网站在线检测是否在线
· 查看扫描结果无开始、结束时间,未进行扫描,查看IP是否超过最大授权数量。
· 自定义用户可以通过登录系统安全管理员security,用户管理处修改密码,解除锁定,修改登录限制;
· 默认管理员可以通过使用con_admin/con_admin@scr登陆设备后台使用sudo user_init admin、sudo user_init security等进行初始化,初始化后的密码和用户名保持一致,此命令也可以用于解锁被锁定被限制的默认用户
· 打补丁后数据库或中间件版本号并没有改变,部分漏洞是通过判断版本号来判断是否存在该漏洞的,所以此类漏洞仍可以扫描出来
· 可以修改扫描参数->扫描方式中报告级别为精确再进行扫描
· 漏扫上telnet 120.24.208.173 22和20009,特征库升级需要放通22和20009端口
· 需要,基线核查功能为单独的功能授权,需要购买
· 可以通过使用con_admin/con_admin@scr登陆设备配置临时地址和网管,登陆后是使用如下命令进行配置,但是重启设备地址和网关会丢失,需要登陆web页面重新下发下地址和网关
· 配置IP 命令:sudo ifconfig “接口” "IP地址" netmask "子网掩码"。
· 配置网关:sudo route add default gw "网关"
删除资产无法释放授权:
· 临时授权默认自带256个iP,不支持扩容,需要更多IP临时授权请联系市场申请。
· 正式授权可进行IP 数量扩容。
出现引擎异常可能包含如下原因:
· 系统、数据库任务正在扫描时,异常重启,导致的扫描任务异常
· 软件序列号变更,重新导入授权文件时,需要重启设备,否则在扫描任务时会导致引擎异常
· 可以通过使用con_admin/con_admin@scr登陆设备,使用sudo ifconfig eth0 up后台启动0口, 配置临时地址和网管
· 配置IP 命令:sudo ifconfig “接口” "IP地址" netmask "子网掩码"。
· 配置网关:sudo route add default gw "网关"
· 但是通过此方法配置后重启设备地址和网关会丢失,需要使用临时配置的web地址登录页面后,在系统->网络设置处重新启用接口下并发下地址和网关。
· 修改CPU相关信息,如核数
· 授权绑定的MAC地址变更,如删除绑定的网口等引起的MAC地址变更
支持
