使用 Web Security Scanner

>

本页面介绍如何使用 Web Security Scanner 代管式扫描功能并在 Security Command Center 信息中心内查看发现结果。还显示了 Web Security Scanner 发现结果的示例。

Web Security Scanner 是 Security Command Center 优质层级的内置服务,可识别 App Engine、Google Kubernetes Engine (GKE) 和 Compute Engine Web 应用中的常见安全漏洞。如需查看 Web Security Scanner 发现结果,您必须在 Security Command Center 服务设置中启用该功能。

以下视频介绍了设置 Web Security Scanner 以及使用 Security Command Center 信息中心的步骤。本页面稍后部分将以文字介绍如何查看和管理 Web Security Scanner 发现结果以及如何使用代管式扫描功能。

详细了解 Web Security Scanner 的工作原理

审核发现结果

Web Security Scanner 的代管式扫描功能会自动为每个范围内的项目配置和安排扫描。在启用服务之后,Web Security Scanner 扫描可能需要长达 24 小时才能启动,并在首次扫描后每周运行。 您可以在在 Security Command Center 中查看发现结果。

在 Security Command Center 中审核发现结果

要在 Security Command Center 中审核 Web Security Scanner 发现结果,请执行以下操作:

  1. 转到 Google Cloud Console 中的 Security Command Center 发现结果标签页。
    转到“发现结果”标签页
  2. 查看方式旁边,点击来源类型
  3. 来源类型列表中,选择 Web Security Scanner。 系统会根据所选来源类型在表中填充发现结果。
  4. 如需查看特定发现结果的详细信息,请点击 category 下的发现结果名称。“发现结果详情”面板展开即可显示以下信息:
    • 事件是什么
    • 事件发生的时间
    • 发现结果数据的来源
    • 检测严重程度,例如
    • 受影响的网址

扫描可以从多个基准网址生成发现结果。如需在扫描中显示与给定网址关联的所有发现结果,请执行以下操作:

  1. 点击 category 下的发现名称。
  2. 在发现结果详情面板上,复制 externalUri 旁边的网址。
  3. 关闭发现结果详情面板。
  4. 过滤条件框中,输入 externalUri:affected-uri,其中 affected-uri 是您之前复制的网址。Security Command Center 会显示与该网址关联的所有发现结果。

示例发现结果

示例 Web Security Scanner 托管式扫描发现结果包括以下:

表格 A.Web Security Scanner 托管式扫描发现结果类型
漏洞 说明
混合内容 通过 HTTPS 提供的页面也可以通过 HTTP 提供资源。中间人攻击者可以篡改 HTTP 资源,并获得加载该资源的网站的完整访问权限,或获得监控用户操作的完整权限。
明文密码 应用返回包含无效内容类型或者没有 X-Content-Type-Options: nosniff 标头的敏感内容。
过时的库

已知所添加的库版本包含安全问题。扫描程序根据已知的易受攻击库列表,对正在使用的库的版本进行检查。如果版本检测失败或用户已经手动修补了库,则可能出现误报。

Web Security Scanner 可识别以下常用库的一些易受攻击的版本:

此列表会定期更新,包括适用的新库和更新漏洞。

详细了解如何使用 Security Command Center 信息中心

扫描配置

如需查看代管式扫描配置和手动启动扫描,请使用 Cloud Console。

如需查看项目的代管式扫描配置,请执行以下操作:

  1. 转到 Cloud Console 中的 Web Security Scanner 页面。
    转到 Web Security Scanner 页面
  2. 选择一个项目。此时会显示一个页面,其中包含您的代管式和自定义扫描。
  3. 扫描配置下,点击 managed_scan。出现的页面会显示最新的代管式扫描的结果,包括扫描状态、已抓取的网址和发现的漏洞。使用下拉列表查看之前的扫描的结果。

Web Security Scanner 管理并维护代管式扫描,因此您无法修改扫描配置。如停用代管式扫描中所述,只能在 Security Command Center 中修改或删除代管式扫描。

按需扫描

代管式扫描按设定的时间表自动运行。但是,您可以使用 Web Security Scanner 界面运行按需托管式扫描:

  1. 转到 Cloud Console 中的 Web Security Scanner 页面。
    转到 Web Security Scanner 页面
  2. 选择一个项目。此时会显示一个页面,其中包含您的代管式和自定义扫描。
  3. 扫描配置下,点击 managed_scan
  4. 在下一页上,点击页面顶部的运行;或
  5. 点击结果标签页中的再次运行扫描 (Run scan again)。

此时扫描会开始。扫描完成后,系统会在 Security Command Center 中更新发现结果。如果您希望在定时执行的扫描之间捕获新项目或更新后项目的发现结果,则按需代管式扫描非常有用。按需扫描不会影响定时执行的每周扫描的时间。

您可以在日志页面中找到关于扫描的更多信息。

停用代管式扫描

建议您对适用范围内的所有项目启用 Web Security Scanner。但是,您可以停用 Web Security Scanner 或从 Web Security Scanner 代管式扫描中移除特定项目。

要从代管式扫描中移除项目,请执行以下操作:

  1. 转到 Security Command Center 中的服务页面。
    转到“服务”页面
  2. 选择您的组织。
  3. 导航至高级设置并展开菜单以查看您的文件夹和项目。
  4. Web Security Scanner 列下,对于要从代管式扫描中移除的项目,从下拉列表中选择默认处于停用状态

已停用的项目不再包含在代管式扫描中。

要在 Security Command Center 中停用 Web Security Scanner,请执行以下操作:

  1. 转到 Security Command Center 中的服务页面。
    转到“服务”页面
  2. 选择您的组织。
  3. 在 Web Security Scanner 旁边的下拉菜单中,选择默认处于停用状态

Web Security Scanner 在 Security Command Center 中处于停用状态,并且代管式扫描不再运行。

您可以通过 Cloud Console 中的 Web Security Scanner 界面将 Web Security Scanner 作为独立产品继续使用,但有以下变化:

  • 您需要为每个项目配置和管理自定义扫描
  • 代管式扫描配置会被归档,现有的代管式扫描发现结果将继续显示在 Security Command Center 信息中心内。
  • 代管式扫描仅在 Security Command Center 专业版中提供,因此代管式扫描配置和现有的代管式扫描发现结果会从 Web Security Scanner 界面中移除。

在 Security Command Center 中重新启用 Web Security Scanner 后,代管式扫描配置和发现结果会重新显示在 Web Security Scanner 界面中。通常,如果在新扫描过程中发现相同的漏洞,系统会更新现有发现结果。如果上次扫描后您的应用或网站发生更改,系统可能会创建新的发现结果。

后续步骤