Web Security Scanner 可识别 App Engine、Google Kubernetes Engine(GKE)和 Compute Engine Web 应用中的安全漏洞。它会抓取您的应用,跟踪起始网址范围内的所有链接,并尝试执行尽可能多的用户输入和事件处理程序。Web Security Scanner 仅支持不受防火墙保护的公共网址和 IP。
Web Security Scanner 支持 App Engine 标准环境和 App Engine 柔性环境、Compute Engine 实例和 GKE 资源。
Web Security Scanner 旨在完善您现有的安全设计和开发流程。为避免出现误报让您分心,Web Security Scanner 会在报告不足的一侧提供错误提示,而且不会显示可信度较低的提醒。此工具不能取代手动安全审查,也不能保证您的应用没有安全缺陷。
扫描类型
Web Security Scanner 为公共 App Engine、GKE 和 Compute Engine 服务的 Web 应用提供代管式和自定义的 Web 漏洞扫描。
代管式扫描
Web Security Scanner 代管式扫描由 Security Command Center 配置和管理。每周自动运行代管式扫描,以检测和扫描公共 Web 端点。这些扫描不使用身份验证,而是发送仅限 GET 的请求,因此他们无需在实际网站上提交任何表单。
代管式扫描与自定义扫描分开运行。
如果在组织级层激活 Security Command Center,您可以使用代管式扫描来集中管理组织中项目的基本 Web 应用漏洞检测,而不需要各个项目团队参与。发现结果后,您可以与这些团队合作,以设置更全面的自定义扫描。
启用 Web Security Scanner 作为服务后,Security Command Center 漏洞页面和相关报告会自动显示代管式扫描发现结果。有关如何启用 Web Security Scanner 的信息 代管式扫描,请参阅 配置 Security Command Center 服务。
托管式扫描仅支持使用默认端口的应用,HTTP 连接的默认端口为 80,HTTPS 连接的默认端口为 443。如果您的应用使用 非默认端口,请改为执行自定义扫描。
自定义扫描
Web Security Scanner 自定义扫描可提供有关应用漏洞发现结果的详细信息,例如过时的库、跨站脚本攻击或混合内容的使用。
您需要在项目级层定义自定义扫描。
完成设置 Web Security Scanner 自定义扫描的指南后,在 Security Command Center 中可获取自定义扫描发现结果。
扫描发现结果
本部分介绍了 Web Security Scanner 发现类型和相关合规性标准。
检测器与合规性
Web Security Scanner 支持 OWASP 十大类别中的类别,该文档根据开放式 Web 应用安全项目 (OWASP) 对前 10 个最重要的 Web 应用安全风险进行排名并提供补救指南。
合规性映射仅供参考,不提供或审核 由 OWASP 基金会提供。此功能仅用于监控合规性控制的违规行为。您不应将提供的映射作为针对产品或服务的监管、行业基准或标准合规性的审计、认证或报告的基础或替代方案。
如需详细了解合规性,请参阅评估和报告安全基准合规性。
发现类型
Web Security Scanner 自定义扫描和代管式扫描可识别以下发现结果类型。在标准层级中,Web Security Scanner 支持对公共网址和 IP 不受防火墙保护的已部署应用进行自定义扫描。
| 类别 | 发现结果说明 | OWASP 2017 年排名前 10 | OWASP 2021 年排名前 10 |
|---|---|---|---|
|
API 中的类别名称: |
Git 代码库被公开。如需解决此发现结果,请移除对 Git 代码库的意外公开访问权限。 价格层级:标准 |
A5 | A01 |
|
API 中的类别名称: |
SVN 代码库会公开。如需解决此发现结果,请移除公开库 意外访问 SVN 代码库。 价格层级:Standard |
A5 | A01 |
|
API 中的类别名称: |
在 Web 应用中输入的密码可以缓存在常规浏览器的缓存中,而不是安全的密码存储空间中。 价格层级:付费方案 |
A3 | A04 |
|
API 中的类别名称: |
密码以明文形式传输,可以被拦截。要解决此发现结果,请对通过网络传输的密码进行加密。 价格层级:Standard |
A3 | A02 |
|
API 中的类别名称: |
跨网站 HTTP 或 HTTPS 端点仅验证 价格层级:付费方案 |
A5 | A01 |
|
API 中的类别名称: |
跨站点 HTTP 或 HTTPS 端点仅验证 价格层级:Premium |
A5 | A01 |
|
API 中的类别名称: |
加载的资源与响应的 Content-Type HTTP 标头不匹配。 接收者
以解决此发现结果,请将 价格层级:Standard |
A6 | A05 |
|
API 中的类别名称: |
安全标头存在语法错误,因此被浏览器忽略。要解决此发现结果,请正确设置 HTTP 安全标头。 价格层级:Standard |
A6 | A05 |
|
API 中的类别名称: |
安全标头具有重复、不匹配的值,这会导致未定义的行为。 要解决此发现结果,请正确设置 HTTP 安全标头。 价格层级:Standard |
A6 | A05 |
|
API 中的类别名称: |
安全标头拼写错误并且被忽略。要解决此发现结果,请正确设置 HTTP 安全标头。 价格层级:Standard |
A6 | A05 |
|
API 中的类别名称: |
资源是通过 HTTPS 页面上的 HTTP 提供的。要解决此问题,请确保 确保所有资源都通过 HTTPS 提供 价格层级:Standard |
A6 | A05 |
|
API 中的类别名称: |
检测到有已知漏洞的库。如需解决此发现结果,请升级 更新到较新版本。 价格层级:Standard |
A9 | A06 |
|
API 中的类别名称: |
检测到服务器端请求伪造 (SSRF) 漏洞。要解决此发现结果,请使用许可名单限制 Web 应用可以向其发出请求的网域和 IP 地址。 价格层级:Standard |
不适用 | A10 |
|
API 中的类别名称: |
在发出跨网域的请求时,Web 应用的 价格层级:付费方案 |
A2 | A07 |
|
API 中的类别名称: |
检测到潜在的 SQL 注入漏洞。如需解决此发现结果,请使用 参数化查询可防止用户输入影响 SQL 的结构 查询。 价格层级:Premium |
A1 | A03 |
|
API 中的类别名称: |
检测到使用易受攻击的 Apache Struts 版本。如需解决此发现结果,请将 Apache Strut 升级到最新版本。 价格层级:付费方案 |
A8 | A08 |
|
API 中的类别名称: |
此 Web 应用中的字段容易受到跨站脚本 (XSS) 攻击。接收者 解决此发现结果,验证并转义用户提供的不可信数据。 价格层级:Standard |
A7 | A03 |
|
API 中的类别名称: |
用户提供的字符串没有转义,并且 AngularJS 可以对其进行插入。要解决此发现结果,请验证和转义 Angular 框架处理的不受信任用户提供的数据。 价格层级:标准 |
A7 | A03 |
|
API 中的类别名称: |
此 Web 应用中的字段容易受到跨站脚本攻击。接收者 解决此发现结果,验证并转义用户提供的不可信数据。 价格层级:标准 |
A7 | A03 |
|
API 中的类别名称: |
检测到 XML 外部实体 (XXE) 漏洞。此漏洞可能会导致 Web 应用泄露主机上的文件。如需解决此发现结果,请配置您的 XML 来禁止外部实体。 价格层级:Premium |
A4 | A05 |
|
API 中的类别名称: |
应用容易受到原型污染。当出现以下情况时,
价格层级:Standard |
A1 | A03 |
使用警告
Security Command Center 的 IAM 角色可以在组织、文件夹或项目级层授予。您能否查看、修改、创建或更新发现结果、资产和安全来源,取决于您获授予的访问权限级别。如需详细了解 Security Command Center 角色,请参阅访问权限控制。
使用 Web Security Scanner 时还需要注意以下一些重要事项:
- 由于 Web Security Scanner 正在不断改进,因此将来的扫描可能会报告当前扫描未报告的问题。
- 您的应用的某些功能或部分可能未经过测试。
- Web Security Scanner 尝试激活它找到的每个控件和输入。
- 如果您公开了测试账号具有权限的状态更改操作,则 Web Security Scanner 可能会激活这些操作。这可能会导致不良结果。
- Web Security Scanner 的每个项目最多只能进行 15 项扫描。由于扫描会并发运行,因此建议达到此上限的用户为每项扫描添加多个起始网址,或者将扫描添加到尚未达到此上限的其他项目中。
谁可以运行安全扫描?
如需了解适用于 Web Security Scanner 的身份和访问权限管理 (IAM) 角色,请参阅访问权限控制。
安全扫描需要多长时间?
安全扫描不会立即执行。它会加入队列,稍后执行,也可能会在几小时后再执行,具体取决于系统负载。扫描开始执行后,所需时间取决于应用的大小。 对包含多个网址的大型应用进行扫描可能需要数小时甚至数天的时间。 如果扫描未在 20 天内完成,扫描会自动停止。 并且在扫描过程中发现的所有抓取结果和发现结果都将以 扫描结果。
目标限制
您可以使用 Web Security Scanner 的过滤条件,将扫描目标限制为针对其创建扫描的特定 App Engine 实例。输入不同 App Engine 项目或外部网域的网址将导致错误消息。
Compute Engine 和 GKE 的扫描仅限于映射到为同一项目预留的静态外部 IP 地址以及属于同一项目的静态外部 IP 地址的网域。如需了解如何预留项目 IP 地址,请参阅以下链接:
Compute Engine:预留静态外部 IP 地址
GKE: 使用静态 IP 地址配置域名
App Engine 不提供将静态 IP 地址映射到应用的方法。不过,你可以使用 Cloud Load Balancing 和无服务器网络 端点组 为负载均衡器预留静态 IP 地址, 然后将流量引导至您的应用如需了解价格,请参阅外部 IP 地址价格。
在您的项目中,Web Security Scanner 会自动尝试避开注销网址和可能对扫描产生负面影响的其他通用位置。然而,为保险起见,您可以使用扫描设来手动排除网址。
验证
扫描配置将在创建时以及每次扫描之前验证。Web Security Scanner 会检查 Security Command Center 设置和应用的身份验证凭据,以确保扫描正确配置并可成功登录应用。还会检查配置参数(包括最大扫描速度),以确保它们在支持的范围内。
您必须先解决错误,然后才能创建或更新扫描。在初始配置后发生更改的应用可能会在扫描期间产生错误。例如,如果某个网域不再指向项目拥有的 IP 地址,则该资源将不会被扫描,并且扫描配置页面上将报告错误。
最佳做法
由于 Web Security Scanner 会填充字段、按下按钮、点击链接以及执行其他用户操作,因此您应谨慎使用,尤其是扫描生产资源时。Web Security Scanner 可能会潜在激活更改数据或系统状态的功能,造成不良后果。
例如:
- 在允许公开评论的博客应用中,Web Security Scanner 可能会将测试字符串作为评论发布到您的所有博文。
- 在电子邮件注册页面中,Web Security Scanner 可能会生成大量的测试电子邮件。
为避免产生不必要的后果,可单独或组合使用以下技术:
- 在测试环境中运行扫描。 通过创建单独的 App Engine 项目并在其中加载应用和数据来设置测试环境。如果您使用 Google Cloud CLI,则可以在上传应用时将目标项目指定为命令行选项。
- 使用测试账号。 创建一个不会访问敏感数据或有害操作的用户账号,并使用该账号进行应用扫描。很多应用会在用户首次登录期间提供特殊工作流程,如接受条款和创建个人资料。由于工作流程不同,因此初始用户的测试账号可能产生与已建立的用户账号不同的扫描结果。在第一次流程完成后,最好使用处于正常用户状态的账号进行扫描。
- 通过应用 CSS 类
inq-no-click,屏蔽不希望激活的个别界面元素。附加到此元素的事件处理脚本不会在抓取和测试期间被激活,无论它们是内嵌 JavaScript、使用addEventListener附加还是通过设置适当的事件处理脚本属性进行附加。 - 使用备份数据。 考虑在扫描之前备份数据。
- 排除的网址。您可以指定不会被抓取或测试的网址格式。如需了解语法,请参阅 排除网址。
在扫描之前,请仔细审核您的应用,查看是否有功能影响数据、用户或系统,超出扫描范围。
后续步骤
- 开始使用 Web Security Scanner。