本頁面說明如何使用 Web Security Scanner 的受管理掃描功能,以及如何在 Google Cloud 控制台中查看結果。畫面也會顯示 Web Security Scanner 發現項目的範例。
Web Security Scanner 是 Security Command Center Premium 層級的內建服務,可找出 App Engine、Google Kubernetes Engine (GKE) 和 Compute Engine 網頁應用程式中的常見安全漏洞。如要查看 Web Security Scanner 發現項目,必須在 Security Command Center 的「服務」設定中啟用這項功能。
進一步瞭解 Web Security Scanner 的運作方式。
查看結果
Web Security Scanner 的代管掃描功能會自動為每個適用專案設定及排定掃描作業。啟用服務後,Web Security Scanner 最多可能需要 24 小時才會開始掃描,且首次掃描後每週都會執行掃描。 您可以在 Security Command Center 中查看發現項目。
在控制台中查看發現項目
您可以在機構、資料夾或專案層級授予 Security Command Center 的 IAM 角色。您能否查看、編輯、建立或更新發現項目、資產和安全性來源,取決於您獲准的存取層級。如要進一步瞭解 Security Command Center 角色,請參閱存取權控管。
如要在 Security Command Center 中查看 Web Security Scanner 發現項目,請按照下列步驟操作:
標準或進階
- 在 Google Cloud 控制台中,前往 Security Command Center 的「發現項目」頁面。
- 選取 Google Cloud 專案或機構。
- 在「快速篩選器」部分的「來源顯示名稱」子部分中,選取「Web Security Scanner」。發現項目查詢結果會更新,只顯示來自這個來源的發現項目。
- 如要查看特定發現項目的詳細資料,請按一下「類別」欄中的發現項目名稱。 系統會開啟發現項目的詳細資料面板,並顯示「摘要」分頁。
- 在「摘要」分頁中,查看發現項目的詳細資料,包括偵測到的內容、受影響的資源,以及 (如有) 可採取哪些步驟來修正發現項目。
- 選用:如要查看調查結果的完整 JSON 定義,請按一下「JSON」JSON分頁。
Enterprise
- 在 Google Cloud 控制台中,前往 Security Command Center 的「發現項目」頁面。
- 選取 Google Cloud 機構。
- 在「匯總」部分中,按一下展開「來源顯示名稱」子部分。
- 選取「Web Security Scanner」。發現項目查詢結果會更新,只顯示來自這個來源的發現項目。
- 如要查看特定發現項目的詳細資料,請按一下「類別」欄中的發現項目名稱。 系統會開啟發現項目的詳細資料面板,並顯示「摘要」分頁。
- 在「摘要」分頁中,查看發現項目的詳細資料,包括偵測到的內容、受影響的資源,以及 (如有) 可採取哪些步驟來修正發現項目。
- 選用:如要查看調查結果的完整 JSON 定義,請按一下「JSON」JSON分頁。
查看與特定網址相關聯的所有發現項目
一次掃描作業可能會產生多個基底網址的結果。如要顯示與特定網址相關的所有掃描結果,請按照下列步驟操作:
- 開啟發現項目並查看其 JSON 定義。
- 複製
externalUri旁邊的網址。 - 關閉發現結果詳細資料窗格。
在「Query editor」(查詢編輯器) 中輸入以下查詢:
externalUri:"AFFECTED_URI"將 AFFECTED_URI 替換成您先前複製的網址。
Security Command Center 會顯示與該網址相關的所有發現項目。
發現項目範例
Web Security Scanner 代管掃描發現項目範例如下:
| 安全漏洞 | 說明 |
|---|---|
| 複合型內容 | 以 HTTPS 提供的網頁同時也會透過 HTTP 提供資源。攔截式攻擊者可能會竄改 HTTP 資源,並取得載入該資源網頁或監控使用者行動的完整權限。 |
| 純文字密碼 |
應用程式所傳回機密內容的內容類型無效,或是沒有 X-Content-Type-Options: nosniff 標頭。 |
| 舊版資料庫 |
內建資料庫的版本確實有安全性問題。掃描工具會根據已知的安全漏洞資料庫清單,檢查使用中的資料庫版本。如果版本偵測失敗或已透過手動方式修補資料庫,則可能會發生系統誤判。 Web Security Scanner 會找出下列熱門程式庫的某些易受攻擊版本:
我們會定期更新這份清單,加入新的程式庫,並視情況更新安全漏洞。 |
進一步瞭解如何在 Google Cloud 控制台中使用 Security Command Center。
在 Google Cloud 控制台中篩選發現項目
大型機構的部署作業可能發現許多待審查、分類和追蹤的安全性弱點。您可以在 Google Cloud 控制台的 Security Command Center「安全漏洞」和「發現項目」頁面使用篩選器,專注於貴機構中嚴重程度最高的安全漏洞,並依資產類型、專案等查看安全漏洞。
如要進一步瞭解如何篩選安全漏洞發現項目,請參閱「在 Security Command Center 中篩選安全漏洞發現項目」。
忽略發現項目
如要控管 Security Command Center 中的發現項目量,您可以手動或以程式輔助方式忽略個別發現項目,也可以建立忽略規則,根據您定義的篩選條件,自動忽略目前和日後的發現項目。
已忽略的發現項目會隱藏並靜音,但仍會記錄在稽核和法規遵循報告中。您可以隨時查看或取消隱藏發現項目。詳情請參閱「略過 Security Command Center 中的發現項目」。
掃描設定
如果 Web Security Scanner 取得存取憑證,就會使用該存取層級執行所有動作。為降低生產資源的風險,並在安全漏洞進入生產環境前加以防範,建議您在開發、測試、暫存或品質保證環境中執行掃描。
掃描正式版資源很有用,因為即使測試和正式版之間的資源有微小變更,也可能導致安全漏洞。不過,您可能想在正式版掃描期間限制存取權。詳情請參閱「最佳做法」。
如要查看受管理掃描設定及手動啟動掃描,請使用Google Cloud 控制台。
如要查看專案的受管理掃描設定:
- 前往 Google Cloud 控制台的「Web Security Scanner」(網站安全掃描器) 頁面。
前往 Web Security Scanner 頁面 - 選取專案。系統會顯示頁面,列出您管理的掃描和自訂掃描。
- 在「掃描設定」下方,按一下
managed_scan。顯示的頁面會列出最近一次受管理掃描的結果,包括掃描狀態、檢索的網址和發現的安全漏洞。使用下拉式清單查看先前掃描的結果。
Web Security Scanner 會管理及維護代管掃描,因此您無法修改掃描設定。如「停用代管掃描作業」一文所述,代管掃描作業只能在 Security Command Center 中編輯或刪除。
受管理掃描的靜態 IP 位址範圍
在 Security Command Center 中啟用 Web Security Scanner 後,代管掃描作業會自動開始,並使用下列範圍內的靜態 IP 位址:
8.34.210.32/2734.66.18.0/2634.66.114.64/2634.68.34.64/27
隨選掃描
系統會依排程自動執行受管理掃描。不過,您可以使用 Web Security Scanner 介面執行隨選代管掃描:
- 前往 Google Cloud 控制台的「Web Security Scanner」(網站安全掃描器) 頁面。
前往 Web Security Scanner 頁面 - 選取專案。系統會顯示頁面,列出您管理的掃描和自訂掃描。
- 在「掃描設定」下方,按一下
managed_scan。 - 在下一個頁面中,按一下頁面頂端的「執行」;或
- 按一下「結果」分頁中的「再次執行掃描」。
掃描作業會開始執行,完成後,Security Command Center 中的發現項目就會更新。 如果您想在排定的掃描作業之間,擷取新專案或更新專案的結果,隨選管理掃描作業就相當實用。按需求掃描不會影響每週排定掃描作業的時間。
如要進一步瞭解掃描作業,請參閱專案的記錄頁面。
停用代管掃描
建議您為所有適用專案啟用 Web Security Scanner。不過,您可以在 Security Command Center 中停用 Web Security Scanner,或在機構層級啟用 Security Command Center 時,停用特定專案或資料夾的 Web Security Scanner 代管掃描作業。
為專案或資料夾停用 Web Security Scanner 掃描
如要停用資料夾或專案的代管掃描功能,請按照下列步驟操作:
前往 Security Command Center 的「服務」頁面。
選取專案或機構。
在「網站安全掃描器」資訊卡中,按一下「管理設定」。 系統會開啟 Web Security Scanner 的「服務啟用」頁面。
在「服務啟用」面板中,使用下列其中一種方法,為專案或資料夾停用 Web Security Scanner:
- 前往專案或資料夾:
- 在「啟用服務」面板中,視需要捲動並展開任何上層機構或資料夾,然後前往專案或資料夾。
- 在專案或資料夾的列中,從「Web Security Scanner」欄的選單中選取「停用」。
- 僅限專案和資料夾,依名稱搜尋專案或資料夾:
- 按一下「搜尋資料夾或專案」。
- 在「搜尋資源」對話方塊中,輸入專案、資料夾或機構的名稱。對話方塊中會顯示專案。
- 在對話方塊中,從「Web Security Scanner」欄的選單中選取「停用」。
- 前往專案或資料夾:
停用的專案不會再納入管理掃描作業。
在 Security Command Center 中停用 Web Security Scanner
如要在 Security Command Center 中停用 Web Security Scanner 服務,請按照下列步驟操作:
前往 Security Command Center 的「服務」頁面。
選取專案或機構。
在「網站安全掃描器」資訊卡中,按一下「管理設定」。 系統會開啟 Web Security Scanner 的「服務啟用」頁面。
在「服務啟用」下方,找到頂層專案或機構的資料列,然後在「Web Security Scanner」欄的選單中選取「停用」。
在 Security Command Center 中停用 Web Security Scanner,代管掃描作業將不再執行。
您仍可透過 Google Cloud 控制台的 Web Security Scanner 介面,繼續使用 Web Security Scanner 做為獨立產品,但有以下異動:
- 您需要為每個專案設定及管理自訂掃描。
- 受管理的掃描設定會封存,現有的受管理掃描發現項目仍可在 Google Cloud 控制台中查看。
- 代管掃描作業僅適用於 Security Command Center Premium,因此系統會從 Web Security Scanner 介面移除代管掃描設定和現有的代管掃描發現項目。
如果在 Security Command Center 中重新啟用 Web Security Scanner,代管掃描設定和發現項目就會重新顯示在 Web Security Scanner 介面中。一般來說,如果新掃描作業發現相同的安全漏洞,系統就會更新現有發現項目。如果應用程式或網站自上次掃描後有大幅變更,系統可能會建立新的發現項目。