昱唯

Web 安全现状

随着互联网技术的快速发展，许多政府机构、事业单位和企业的关键业务活动越来越依赖于 Web 应用。在向客户提供基于 Web 的信息化管理系统的同时，用户所面临的风险也在不断的增加，主要表现在以下两个方面：

随着 Web 应用系统的广泛应用，这些 Web 应用系统所带来的安全漏洞越来越多。

随着互联网技术的发展，黑客活动越加猖獗，被用来进行攻击的黑客应用工具也越来越多。
互联网上75%的信息安全攻击来自 Web 应用，有2/3的 Web 应用存在其脆弱性，但是在针对 Web 应用的安全投资只占到整个信息安全投资比例的10%，Web 安全防护显得越加重要。

产品简介

腾讯云漏洞扫描服务是用于监测网站漏洞的安全服务，为企业提供7*24小时全面准确的漏洞监测和专业的修复建议， 避免漏洞被黑客利用进而影响网站安全。

部署模式

腾讯云漏洞扫描服务是一款纯 SAAS 服务。客户无需安装任何硬件或软件，无需改变目前的网络部署状况。强大的并发扫描能力，可以为企业检测上千个网站，极大降低安全运维成本。

用户收益

腾讯云漏洞扫描服务作为一个企业级的安全监测系统，能为您带来如下收益：

帮助您全面了解企业的网络安全风险状况， 保障业务安全。

帮助您及时应对每个月新增的黑客攻击技术和漏洞类型。

与企业自身研发或已购买的安全产品互补，全面保障网络安全。

能够降低企业的安全运维成本。

能够为您的企业提供专业的安全咨询和技术合作服务。

适用领域

腾讯云漏洞扫描服务基于其强大的安全检测能力，能够提高网络和数据的安全性，能够适用于众多行业和企业，包括但不限于：

IT 公司、大型企业。

金融行业、通信行业。

安全公司、监管机构。

资产自动发现

漏洞扫描服务可以对设备操作系统、端口、服务、组件等企业资产进行高效识别，有效帮助企业发现未知资产，管控现有资产，同时，也对资产风险信息进行数据可视化，方便企业了解资产风险趋势变化。

漏洞深度扫描

Web 漏洞检测
漏洞扫描服务支持 SQL 注入、命令注入、代码注入、文件包含、XSS 攻击、CSRF 等数十种常见的漏洞类型检测，为网站安全保驾护航。

0day/1day/Nday 漏洞检测
漏洞扫描服务内置了数千条经过腾讯安全工程师严格测试和专业审计的无伤 Poc（Proof of concept），Poc 的类型包括 Web 应用漏洞、Web 中间件漏洞、数据库漏洞、操作系统漏洞、软件服务漏洞、IOT 设备漏洞、路由器漏洞、摄像头漏洞、工控设备漏洞等。

违规敏感内容检测

基于腾讯全体系内容鉴定平台与资深专业的审核团队，漏洞扫描服务使用丰富的训练数据资源与先进的算法模型，快速准确地发现网站涉黄、涉恐、赌博、涉政等敏感图片及文字等信息，防止品牌形象受损，提高网站内容安全性，保障网站符合政策要求。

篡改挂马挖矿检测

基于腾讯的用户 URL 检测体系以及实时监测系统，利用多种模型融合技术从多维度对网站进行实时监控，及时发现页面异常篡改、挂马以及挖矿行为，并**时间进行告警和应急处理。

弱口令检测

漏洞扫描服务支持对资产组件进行弱口令扫描，扫描对象包括 FTP、SSH、RDP、MySQL、ORACLE、IMAP、MEMCACHE、Redis 等数十项内容。

风险评估报表

针对扫描结果，漏洞扫描服务可形成全面多维的风险扫描报告。风险扫描报告涵盖漏洞检测与内容风险两方面内容，并可提供专业修复建议。

漏洞扫描服务是腾讯云推出的一款功能强大的企业级安全监测系统，其产品优势如下：

全面资产风险监测

漏洞扫描服务依靠腾讯安全20年与黑产对抗累积的经验和海量威胁情报打造而成，全方位监控企业网站风险，包含弱口令检测、Web 漏洞扫描、违规敏感内容检测、网站篡改检测、挂马挖矿检测等多类资产风险检测。

深度风险检测

漏洞扫描服务采用 Web2.0 的威胁检测引擎，通过20年与黑产对抗而学习到的黑客攻击经验，编排攻击策略，模拟真实黑客攻击，从黑客视角深入直观地获取 Web 站点的脆弱性情况。

基于腾讯安全专家严格测试和专业审计的数千条无伤 Poc（Proof of concept），漏洞扫描服务能有效检测出操作系统、数据库、Web 中间件、CMS 应用等资产组件的 1day 漏洞和 Nday 漏洞，同时依托腾讯七大安全实验室（如云鼎实验室，科恩实验室等）强大的 0day 深度挖掘与感知能力，深入保护用户资产安全。

基于在社交平台信息安全审核领域多年发展，所研制的智能内容安全检测引擎，并结合大数据和 AI 技术，漏洞扫描服务能快速精准的检测出网站篡改、敏感词、钓鱼、木马、暗链、涉黄、涉恐等风险。

精准资产探测

漏洞扫描服务不仅支持 Linux、Windows 主机的资产，还支持常见 IOT 设备，例如摄像头、路由器、工控设备。

漏洞扫描服务内置了强大的协议库与指纹信息，能够快速、准确地识别资产操作系统、开放端口、服务组件等信息。

监防一体化协同

漏洞扫描服务一旦发现安全风险，可以与云上的 主机安全 和 Web 应用防火墙 联动，实现从风险监测到风险处置的闭环。

专业化安全团队

腾讯安全专家团队可以针对发现的安全风险，提供专业的修复建议，并对已知威胁定期检测，确保威胁已解除。

腾讯安全专家包括曾获得 “Master of Pwn（世界破解大师）”、“Pwn2Own 世界总**”称号，并多次收到微软、Adobe 等公司致谢的科恩、玄武、湛卢团队，以及连续多次在国内外网络安全挑战赛中获得**的 eee 团队。

如果您对网站或 API 服务有漏洞防护需求，可另行购买 腾讯云 Web 应用防火墙 进行防护， Web 应用防火墙将为您提供 OWASP TOP 10安全防护，可抵御 Web 漏洞攻击、恶意爬虫和 CC 攻击等行为，保护网站和 Web 应用安全。

网站风险扫描

全方位检测客户网站风险，支持对 Web 漏洞、0Day/1day/Nday 漏洞、可用性、弱口令、内容安全风险、挂马篡改等威胁进行扫描，为网站安全保驾护航。

主机风险扫描

支持云上云下主机资产梳理，并对主机进行脆弱性扫描，包括漏洞风险、主机服务可用性、端口风险等，帮助企业发现影子资产、影子端口，为客户输出全面的资产分析报告和脆弱性报告，并提供专业的修复建议。

API 安全

对 API 进行 Web 层漏洞、配置合规、数据泄漏、功能可用性等方面检测，帮助客户构建基于 OpenAPI 等行业规范的积极安全模型与 API 的统一安全解决方案。

物联网安全

具有多种类型物联网（IOT）设备指纹、漏洞检测 PoC，具有 IOT 设备发现、漏洞检测以及 IOT 固件安全扫描能力，同时提供基于 ARM 等多种平台的代码混淆和指令级二进制混淆方案。

等保合规

支持为各行业网络资产提供全方位的防护解决方案，满足《信息安全技术网络安全等级保护基本要求》中漏洞和风险管理的要求，帮助用户定期对系统进行漏洞扫描，及时准确的发现系统安全隐患，**时间进行告警通知和应急处理，并提供处置建议及应对方案，满足监管机构的合规性要求。