V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
holinhot
V2EX  ›  信息安全

腾讯的漏洞扫描服务不需要验证目标网站权限的?

  •  
  •   holinhot · 2022-02-26 04:55:27 +08:00 · 2489 次点击
    这是一个创建于 1008 天前的主题,其中的信息可能已经有所发展或是发生改变。
    从来没有使用过腾讯的漏洞扫描服务,最近网站收到很多腾讯的漏洞扫描服务来扫描网站还会模拟下载安装包。
    产品说明: https://main.qcloudimg.com/raw/document/product/pdf/692_16840_cn.pdf
    这些 IP 都是腾讯的漏洞扫描服务
    129.211.162.110
    129.211.162.87
    129.211.163.253
    129.211.164.19
    129.211.166.123
    129.211.167.182
    129.211.167.200
    129.211.167.70
    129.211.162.158
    129.211.162.23
    129.211.166.134
    129.211.167.108
    129.211.167.181
    129.211.166.142
    129.211.166.163
    129.211.167.128
    129.211.167.166
    4 条回复    2022-02-26 08:38:41 +08:00
    holinhot
        1
    holinhot  
    OP
       2022-02-26 05:01:42 +08:00
    还是说是腾讯在自主扫描?而不是有人添加了我们网站到腾讯的漏洞扫描服务里
    DT27
        2
    DT27  
       2022-02-26 07:57:30 +08:00
    直接去腾讯提工单。
    Xhack
        3
    Xhack  
       2022-02-26 08:31:18 +08:00
    提工单问,比在这问权威且快吧
    YaakovZiv
        4
    YaakovZiv  
       2022-02-26 08:38:41 +08:00
    腾讯漏扫 IP 是固定的( https://cloud.tencent.com/document/product/692/38483 ),加到防火墙拦截可以阻止扫描。
    添加资产就能扫描,添加时会验证账号是否实名认证,但实名认证可以借用别人身份,访问者也可以挂一层保护 IP 去访问腾讯的 web 界面,综上,可能查不到是谁发起访问。
    以前是有要求资产所有者要在加个授权界面或者网页加授权信息,才会正式扫描的,查不到对应授权信息,加了资产也启动不了扫描,现在不清楚。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   997 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 22:49 · PVG 06:49 · LAX 14:49 · JFK 17:49
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.