使用 Web Security Scanner

>

本页面介绍如何在 Security Command Center 信息中心内查看 Web Security Scanner 托管式扫描发现结果,并包含 Web Security Scanner 发现结果示例。Web Security Scanner 是 Security Command Center 优质层级的内置服务。要查看 Web Security Scanner 发现结果,您必须在 Security Command Center 来源和服务设置中启用该功能。

如需了解详情,请详细了解 Web Security Scanner 工作原理

审核发现结果

Web Security Scanner 生成发现结果后,您可以在 Security Command Center 中查看它们。启用该服务后,Web Security Scanner 扫描最多可能需要 24 小时才能开始。在大多数情况下,Web Security Scanner 扫描会在部署完成后大约一小时开始。

在 Security Command Center 中审核发现结果

要在 Security Command Center 中审核 Web Security Scanner 发现结果,请执行以下操作:

  1. 转到 Google Cloud Console 中的 Security Command Center 发现结果标签页。
    转到“发现结果”标签页
  2. 查看方式旁边,点击来源类型
  3. 来源类型列表中,选择 Web Security Scanner
  4. 如需查看特定发现结果的详细信息,请点击 category 下的发现结果名称。“发现结果详情”面板展开即可显示以下信息:
    • 事件是什么
    • 事件发生的时间
    • 发现结果数据的来源
    • 检测严重程度,例如
    • 受影响的网址
  5. 一次扫描可以从多个基准网址中得出发现结果。要在扫描中显示与指定网址关联的所有发现结果,请按以下步骤操作:
    1. 在发现结果详细信息面板上,复制 externalUri 旁边的网址。
    2. 关闭发现结果详情面板。
    3. 在发现结果标签页过滤条件框中,输入 externalUri:affected-uri,其中 affected-uri 是您之前复制的网址。

Security Command Center 会显示与您提供的网址关联的所有发现结果。

示例发现结果

示例 Web Security Scanner 托管式扫描发现结果包括以下:

表格 A.Web Security Scanner 托管式扫描发现结果类型
漏洞 说明
混合内容 通过 HTTPS 提供的页面也可以通过 HTTP 提供资源。中间人攻击者可以篡改 HTTP 资源,并获得加载该资源的网站的完整访问权限,或获得监控用户操作的完整权限。
明文密码 应用返回包含无效内容类型或者没有 X-Content-Type-Options: nosniff 标头的敏感内容。
过时的库

已知所添加的库版本包含安全问题。扫描程序根据已知的易受攻击库列表,对正在使用的库的版本进行检查。如果版本检测失败或用户已经手动修补了库,则可能出现误报。

Web Security Scanner 可识别以下常用库的一些易受攻击的版本:

此列表会定期更新,包括适用的新库和更新漏洞。