Giải pháp bảo mật Google Cloud Security Scanner

Google Cloud Security Scanner xác định các lỗ hổng bảo mật trong các ứng dụng web Google App Engine của bạn. Ứng dụng của bạn, sau tất cả các liên kết trong phạm vi của các URL bắt đầu của bạn, và cố gắng để thực hiện nhiều đầu vào người sử dụng và xử lý sự kiện càng tốt. Chỉ có trường hợp thường xuyên App Engine supported. Bạn không thể sử dụng các máy quét an ninh với App Engine Management, Google Compute Engine, hoặc bất kỳ nguồn tài nguyên khác.

Máy quét bổ sung thiết kế và phát triển các quy trình an toàn hiện tại của bạn. Nó không thay thế một an ninh xem xét sử dụng, và nó không đảm bảo rằng ứng dụng của bạn là miễn phí từ các lỗi bảo mật. Máy quét giảm thiểu sai tích cực, vì vậy nó sẽ không tìm thấy tất cả các loại có thể dễ bị tổn thương. Để biết thêm thông tin về bảo mật web, xem các dự án OWASP Top Ten .

Làm thế nào để sử dụng các máy quét an ninh?

Trước khi sử dụng các máy quét trên một dự án, bạn sẽ muốn đọc phần còn lại của các tài liệu trên trang này để cân nhắc thực tế rằng sẽ cung cấp cho bạn những kinh nghiệm tốt nhất. Đặc biệt, bạn nên chú ý tới các nguyên liệu theo Ngăn chặn những hậu quả ngoài ý muốn .

Điều đó nói rằng, đây là cách bạn muốn sử dụng các máy quét trên một dự án:

1/ Đăng nhập như là một chủ sở hữu hoặc nhà phát triển của Công cụ dụ App để được quét.

2/ Thăm các nhà phát triển điều khiển Google và chọn dự án. (Nó phải có một ứng dụng App Engine đã được triển khai.)

3/ Chọn Compute > App Engine > Security scan .

4/ Lần đầu tiên bạn quét ứng dụng của bạn, bạn sẽ được nhắc nhở để tạo ra một máy quét mới:

5/ Nhấn vào đây Tạo quét để hiển thị các hình thức scan mới:

Lưu ý: Nếu bạn đã quét ứng dụng của bạn trước, bạn sẽ không được nhắc nhở để tạo ra một cái mới; thay vào đó, chỉ cần sử dụng các máy quét hiện có. Hoặc, nếu bạn cần một máy quét với các thiết lập khác nhau, tạo ra một máy quét mới sử dụng các hình thức nêu trên.

6/ Để chạy một quét, đảm bảo quét mong muốn được chọn, sau đó nhấp vào Run scan:

Một số điều quan trọng cần lưu ý khi sử dụng công cụ này:

Bởi vì các máy quét được trải qua những cải tiến liên tục, quét tương lai có thể báo cáo những vấn đề mà không được báo cáo bởi các quét hiện.

Một số tính năng hoặc các phần của ứng dụng của bạn có thể không được kiểm tra.

Máy quét cố gắng để kích hoạt mọi điều khiển và đầu vào mà nó tìm thấy.

Nếu bạn tiếp xúc với hành động của nhà nước thay đổi mà kiểm tra tài khoản của bạn có sự cho phép, các máy quét có thể kích hoạt chúng – có thể dẫn đến kết quả không mong muốn.

Giá cả, chi phí, và giao thông

Không có chi phí cho việc sử dụng các máy quét. Tuy nhiên, sử dụng các tác động quét App Engine dụ giới hạn hạn ngạch , băng thông (giao thông) chi phí, và hạn ngạch đối với API cuộc gọi đến các dịch vụ App Engine, như mail, tìm kiếm, vv Số tiền thực tế của giao thông tạo ra từ một quét phụ thuộc vào các ứng dụng và số lượng các URL, xử lý sự kiện, hình thức, và các thông số.

Các máy quét được tối ưu hóa để giữ cho giao thông đến mức tối thiểu. Theo mặc định, tốc độ quét được can thiệp hay không để khoảng 15 câu truy vấn trên giây (QPS), với các biến thể nhỏ trong tỷ lệ do bản chất không đồng bộ của nhiều ứng dụng web. Hiện nay, một máy quét lớn bị ngưng lại sau khi 100.000 yêu cầu kiểm tra, không bao gồm các yêu cầu liên quan đến trang web của bò. (Site bò yêu cầu không giới hạn.)

Hạn chế các URL quét

Máy quét có bộ lọc ở nơi đó hạn chế các mục tiêu quét cho các ví dụ cụ thể cho App Engine mà quét được tạo ra. URL nhập cho một dự án App Engine khác nhau hoặc một miền bên ngoài sẽ cho kết quả trong một thông báo lỗi.

Quan trọng: Cố gắng để lật đổ hoặc trong bất kỳ cách giao thông trực tiếp để out-of-phạm vi URL là một vi phạm các chính sách sử dụng chấp nhận được .

Trong dự án của bạn, máy quét tự động cố gắng để tránh URL logout và địa điểm chung chung khác có thể ảnh hưởng xấu đến quá trình quét. Tuy nhiên, để chắc chắn, bạn có thể tự loại trừ các URL thông qua các thiết lập quét.

Không bao gồm các URL từ một máy quét

Nếu bạn muốn thử nghiệm để tránh các phần của một trang web của một quét, bạn có thể chỉ định một hoặc loại trừ nhiều mẫu URL. Các máy quét sẽ không yêu cầu tài nguyên phù hợp với bất kỳ loại trừ. Xem bảng trong Getting Started trang cho loại trừ ví dụ URL.

Ngăn chặn những hậu quả ngoài ý muốn

Bởi vì các máy quét populates các lĩnh vực, đẩy nút, nhấp chuột liên kết, và như vậy, nó nên được sử dụng thận trọng. Các máy quét có khả năng có thể kích hoạt tính năng thay đổi trạng thái của dữ liệu hoặc hệ thống của bạn, với những kết quả không mong muốn.

Ví dụ:

Trong một ứng dụng blog cho phép bình luận nào, các máy quét có thể gửi chuỗi thử nghiệm như ý kiến ​​trên tất cả các bài viết blog của bạn.

Trong một trang email đăng ký, các máy quét có thể tạo ra một số lượng lớn email thử nghiệm.

Dưới đây là một số kỹ thuật mà có thể được sử dụng riêng rẽ hoặc kết hợp để quét mà không tạo ra những hậu quả không lường trước hoặc khác:

Chạy chương trình quét trong một môi trường thử nghiệm. Thiết lập một môi trường thử nghiệm bằng cách tạo ra một dự án App Engine riêng và tải ứng dụng và dữ liệu của bạn ở đó. Nếu bạn sử dụng gcloud , bạn có thể chỉ định các dự án mục tiêu như là một tùy chọn dòng lệnh khi tải ứng dụng của bạn.

Sử dụng tài khoản thử nghiệm. Tạo một tài khoản người dùng không có quyền truy cập vào dữ liệu nhạy cảm hoặc các hoạt động có hại, và sử dụng nó khi quét ứng dụng của bạn.

Chặn các yếu tố giao diện người dùng cá nhân mà bạn không muốn kích hoạt bằng cách áp dụng các lớp CSS INQ-no-click . Xử lý sự kiện gắn liền với yếu tố này không được kích hoạt trong thời gian thử nghiệm và thu thập dữ liệu, bất kể họ là inline JavaScript, hoặc gắn kèm sử dụng addEventListener , hoặc gắn bằng cách thiết lập các tài sản xử lý sự kiện thích hợp.

Sử dụng sao lưu dữ liệu. Tạo một bản sao lưu của tất cả các dữ liệu của bạn trước khi quét, sau đó sao lưu phục hồi dữ liệu khi bạn đang thực hiện. Nếu bạn sử dụng phương pháp này, hãy chắc chắn rằng không có người sử dụng thực tế trên hệ thống trong thời gian thử nghiệm, bởi vì hành động của họ có thể được ghi đè khi sao lưu được khôi phục.

URL bị loại trừ. Bạn có thể chỉ rõ các mẫu URL đó sẽ không được thu thập hoặc thử nghiệm. Cú pháp là trong phần Loại trừ các URL.

Trước khi quét, kiểm toán các ứng dụng của bạn một cách cẩn thận cho bất kỳ tính năng mà có thể ảnh hưởng đến dữ liệu, người dùng hay hệ thống vượt ra ngoài phạm vi mong muốn của quét của bạn.

Nếu bạn sử dụng một tài khoản test

Nhiều ứng dụng trình bày một quy trình làm việc đặc biệt trong lần đầu đăng nhập của người dùng – chấp nhận các điều khoản, tạo ra một hồ sơ cá nhân, và như vậy. Nếu ứng dụng của bạn có một dòng chảy khác nhau cho người dùng lần đầu, chịu được điều này trong tâm trí khi lựa chọn một tài khoản người dùng cho quét của bạn. Bởi vì các công việc khác nhau, một mới (tức là, lần đầu) tài khoản người dùng có thể mang lại kết quả quét khác nhau hơn so với một tài khoản người dùng thiết lập. Chúng tôi khuyên bạn nên quét với một tài khoản đang trong trạng thái người dùng bình thường ; đó là, sau khi các dòng chảy lần đầu đã được hoàn thành.

Tác động của Máy quét an ninh trên các bản ghi

Một số dấu vết của quá trình quét sẽ xuất hiện trong các tập tin đăng nhập của bạn. Ví dụ, các máy quét an ninh tạo ra các yêu cầu đối với những chuỗi khó như ” ~ sfi9876 “và” / sfi9876 “để kiểm tra trang lỗi ứng dụng của bạn; những yêu cầu trang cố tình không hợp lệ sẽ xuất hiện trong bản ghi của bạn.

Phát hiện lỗ hổng

Các xét nghiệm Máy quét an ninh cho các lỗ hổng cross-site scripting, nội dung hỗn hợp, và một số điều kiện tùy chỉnh khác được mô tả trong các phần sau.

CLOSE
CLOSE