安全自动化用例
解决方案工作台支持网站、主机、二进制扫描,扫描成功后,提供扫描报告详情,用于查看漏洞明细、修复建议等信息。安全自动化用例在需求创建完成后即可开始进行设计和执行。
新建指标参数
指标参数是衡量安全扫描结果是否通过的标准,包括漏洞数量统计、等保统计、安全配置等,本步骤在执行安全自动化用例执行前完成即可。
网站扫描
Web网站扫描采用网页爬虫的方式全面深入的爬取网站url,基于多种不同能力的漏洞扫描插件,模拟用户真实浏览场景,逐个深度分析网站细节,帮助用户发现网站潜在的安全隐患。同时内置了丰富的无害化扫描规则,以及扫描速率动态调整能力,可有效避免用户网站业务受到影响。
前置条件:
如果您的网站设置了防火墙或其他安全策略,将导致安全漏洞扫描的扫描IP被当成恶意攻击者而误拦截。因此,在执行安全自动化用例前,请您将以下扫描IP添加至网站访问的白名单中:
119.3.232.114,119.3.237.223,124.70.102.147,121.36.13.144,124.70.109.117,139.9.114.20,119.3.176.1
操作步骤:
- 新建网站扫描用例
- 进入解决方案工作台空间,在用例管理界面选择左侧用例文件夹,即该网站扫描用例归属哪个文件夹。
图2 新建安全自动化用例
- 配置网站扫描用例的基本信息后点击【保存并下一步】。
图3 配置网站的基本信息
表1 网站扫描用例新建参数说明 参数
说明
用例名称
必填。自定义测试用例名称。建议规范用例命名,如“xx网站扫描”。
部署环境
必填。下拉选择该用例部署的底座环境,底座环境与关联的需求相关。
优先级
必填。下拉选择该用例的重要程度。
漏洞扫描
必填。下拉选择扫描类型为“网站”。
描述
自定义对于该用例的描述信息。
前提条件
自定义输入执行该用例的前提条件。
步骤描述
输入该网站扫描的执行步骤。
预期结果
输入该步骤执行后的预期结果。
用例附件
上传该用例需要用到的关联文件。
- 添加网站,完成后点击【保存并下一步】。
图4 配置待扫描的网站信息
表2 网站参数说明 参数
说明
目标网址
网址登录后的URL地址,例如:http://www.domain.com/home,即自动探索的起始URL。
域名别称
帮助用户识别自己的域名地址,您可以填写任意方便您识别网站域名的名称。
扫描模式
快速扫描模式:扫描耗时最短,能检测到的漏洞相对较少;
标准扫描模式:扫描耗时适中,能检测到的漏洞相对较多;
深度扫描模式:扫描耗时最长,能检测到最深处的漏洞。联营商品类型的方案要求使用深度扫描模式。
- 网站登录设置:认证网站域名并设置网站登录信息。
- 域名认证:点击【去认证】进入域名免认证弹窗,仔细阅读免认证使用须知,确认符合条件后,勾选知情按钮,完成域名认证;
- 网站登录设置:点击【去设置】进入网站登录设置弹窗,参数填写参考表3。
图5 网站登录设置
建议使用Cookie登录方式,扫描成功率较高,不建议使用Web页面登录方式,因为这种方式不支持VUE框架开发的网站,Header登录方式一般用于手动探索扫描
表3 网站登录设置参数说明 参数
说明
网站登录设置
如果您的网站页面需要登录才能访问,请您进行登录设置,以便为您发现更多安全问题。
登录配置分为:Web页面登录,Cookie登录,Header登录三种,任选一种即可。
“登录方式一:Web页面登录”
登录页面
网站登录页面的地址。
用户名
登录网站的用户名。
密码
用户名的密码。
确认密码
再次输入用户名的密码。
“登录方式二:cookie登录”
cookie值
如果您的网站除了需要账号密码登录,还有其他的访问机制(例如,需要输入动态验证码),则建议您设置cookie登录方式进行网站漏洞扫描,以便漏洞管理服务能为您发现更多安全问题。
设置cookie登录方式时需要输入网站的cookie值。
有关获取登录网站的cookie值的详细操作,请参见如何获取网站cookie值?
说明:- 获取cookie值后,在创建扫描任务时,请您保持网站的登录状态,以免cookie失效。
- 漏洞管理服务的Cookie登录支持设置“以分号分隔的键值对”和“JSON”两种格式cookie值。
- 您可以按需裁剪或修改浏览器插件获取的数据,保持正确的JSON格式并提供必要的cookie和storage值即可。
“登录方式三:Header登录”
自定义Header
配置HTTP请求头部。通过key-value自定义设置请求头部信息登录,例如通过Token登录。
- 点击【确定】,完成用例新建。
- 进入解决方案工作台空间,在用例管理界面选择左侧用例文件夹,即该网站扫描用例归属哪个文件夹。
- 执行用例。支持使用默认指标参数执行/选择指标参数分组执行,支持手动导入探索文件来进行被动扫描(可选)。
- 执行:使用默认的指标参数执行。
- 指标参数分组执行:如果您的指标参数有多个,想自行选择其中的一个指标参数,可选择本选项后在弹窗中选择您想要的指标参数分组。
图6 执行用例
图7 指标参数分组执行
图8 探索文件上传
- 探索文件执行
- 工具下载地址:https://portswigger.net/burp/communitydownload
- 文件探索不支持HTTP2,可以在web扫描报告中看HPPT1还是HTTP2。
- 下载成功后工具设置:
设置一,可以停用burpsuite的http/2选项来录制http/1.1的探索文件,选择Settings-Network-HTTP,取消勾选 "Default to HTTP/2 if the server supports it"。
设置二,取消勾选HTTP/2
设置三,目的是为了显示所有探索到的url,如果不开启Shaw all,有的url在列表不展示
- 打开Burp,选择Proxy-Open browser,输入网站地址,进行功能操作录制接口
- 功能录制完成后,点击Target,选择域名,右击域名-“Save selected iterms”将录制内容以xml格式保存至本地。
- 编辑好web用例后,将保存在本地的“文件探索.xml”上传到用例的探索文件中进行扫描
- 查看执行结果
等待用例执行完成,点击用例名称进入用例详情页,在用例详情-执行结果页面,可查看到网站扫描的详细结果,可点击修复建议的【查看】按钮查看修复建议,也可以下载报告查看具体分析。
图9 网站扫描结果
如需使用新的指标参数对扫描结果进行校验,可在执行结果页面修改。
如:用户创建了多个指标参数分组,扫描完成后,可更换指标参数分组校验该网站扫描在新指标参数分组下的扫描结果。更换后请点击【同步】->【更新报告】,完成该网站扫描报告的更新。图10 同步新的指标参数
- 更新用例执行信息(可选)
支持上传执行附件、输入结果备注,完善自动化用例的执行信息。
图11 修改执行信息
主机扫描
经过用户授权(支持账密授权)访问用户主机,漏洞扫描服务能够自动发现并检测主机操作系统、中间件等版本漏洞信息和基线配置,实时同步官网更新的漏洞库匹配漏洞特征,帮助用户及时发现主机安全隐患。
漏洞扫描服务支持添加Linux操作系统,支持主机漏洞扫描、基线检测、等保合规检测。
- 新建主机扫描用例
- 进入解决方案工作台空间,选择用例文件夹,即,该主机扫描用例归属文件夹。
图12 新建安全自动化用例
- 配置主机扫描用例的基本信息。
图13 主机扫描基本信息
表4 主机扫描用例新建参数说明 参数
说明
用例名称
必填。自定义测试用例名称。建议规范用例命名,如“主机扫描”。
部署环境
必填。下拉选择该用例部署的底座环境,底座环境与关联的需求相关。
优先级
必填。下拉选择该用例的重要程度。
漏洞扫描
必填。下拉选择“主机”。
描述
自定义对于该用例的描述信息。
前提条件
自定义输入执行该用例的前提条件。
步骤描述
输入该主机扫描的执行步骤。
预期结果
输入该步骤执行后的预期结果。
用例附件
上传该用例需要用到的关联文件。
- 添加待扫描的主机信息。
- 主机名称:用户需要添加的主机名称。自定义即可,便于区分主机。
- 操作系统类型:选择被扫描主机的操作系统类型。
- IP地址:添加主机的IP地址。
图14 添加待扫描的主机信息
- 如果用户有多台主机待扫描且主机可公网访问,则直接添加主机即可;
- 如果用户的主机需要通过代理IP才能访问(即,用户待扫描的主机在内网地址),需要使用跳板机,则可在此处填写主机的内网IP地址,且在后续步骤中需要配置跳板机。
- 配置主机-添加跳板机。
如果用户的主机需要通过代理IP才能访问,请先配置跳板机;如果用户的主机可公网访问,请跳过本步骤。
在需要配置的主机后面点击【配置跳板机】或批量勾选主机后点击【批量编辑跳板机】,在弹窗界面填写跳板机的基本信息,支持选择已经配置过的跳板机或创建新的跳板机。当前仅支持添加Linux系统跳板机。
图15 配置跳板机
表5 跳板机配置参数说明 参数
说明
主机名称
自定义跳板机名称。
公网IP
填写该跳板机绑的公网IP。
登录端口
SSH授权登录的端口号。
请确保安全组已添加该端口,以便主机可通过该端口访问VSS。
选择登录方式
分为“密码登录”和“密钥登录”。
选择加密密钥
为了保护主机登录密码或密钥安全,请您必须使用加密密钥,以避免登录密码或密钥明文存储和泄露风险。
您可以选择已有的加密密钥,如果没有可选的加密密钥,请单击“创建密钥”,创建VSS专用的默认主密钥。
用户名
跳板机的登录用户名,默认为root。
密码
设置sudo用户对应的密码,单击“加密保存”,对密码进行加密保存。
- 配置主机-授权主机。
在需要配置的主机后面点击【配置授权信息】或批量勾选主机后点击【批量编辑授权信息】,为需要扫描的主机配置登录授权信息,配置完成后单击“确定”,完成主机授权。
图16 配置授权信息
表6 Linux授权参数说明 参数
说明
SSH授权别称
自定义SSH授权名称。
登录端口
SSH授权登录的端口号。
请确保安全组已添加该端口,以便主机可通过该端口访问VSS。
选择登录方式
分为“密码登录”和“密钥登录”。
选择加密密钥
为了保护主机登录密码或密钥安全,请您必须使用加密密钥,以避免登录密码或密钥明文存储和泄露风险。
您可以选择已有的加密密钥,如果没有可选的加密密钥,请单击“创建密钥”,创建VSS专用的默认主密钥。
Root权限是否加固
打开该权限后,不可以用root账号直接登录,而只能通过普通用户登录,然后才能切换到root用户。
sudo用户名
默认为root。
sudo密码
设置sudo用户对应的密码,单击“加密保存”,对密码进行加密保存。
1.配置主机授权后,您可以删除主机授权,删除后将不能完全扫描出主机的安全风险。点击已配置的主机右侧的【配置授权信息】,在弹窗界面选择删除授权信息即可。
2.不管有没有配置跳板机,都需要配置主机授权信息,否则不能完全扫描出主机的安全风险。
- 检查主机连通性。在执行用例前请确保主机连通性测试通过。
Windows主机暂不支持互通性测试。
图17 主机互通性测试
- 点击【确定】,完成用例新建。
- 进入解决方案工作台空间,选择用例文件夹,即,该主机扫描用例归属文件夹。
- 执行主机扫描用例,支持使用默认指标参数执行/选择指标参数分组执行,支持手动导入探索文件来进行被动扫描(可选)。
- 执行:点击用例的【更多】->【执行】,使用默认的指标参数执行。
- 指标参数分组执行:如果您的指标参数有多个,想自行选择其中的一个指标参数,可选择本选项后在弹窗中选择您想要的指标参数分组。
- 查看主机扫描结果
等待用例执行完成,击用例名称进入用例详情页,查看执行结果。在用例详情-执行结果页面,可查看到主机扫描的详细结果,可点击修复建议的【查看】按钮查看修复建议,也可以下载报告查看具体分析。
图18 查看主机扫描结果
如需使用新的指标参数进行扫描结果分析,可直接在执行结果页面修改,如上图所示。如:用户创建了两个指标参数分组,扫描完成后,可更换指标参数分组校验该主机扫描在新指标参数分组下的扫描结果。更换后请点击【更新报告】,完成该主机扫描报告的更新。
- 更新用例执行信息(可选)
支持上传执行附件、输入结果备注,完善自动化用例的执行信息。图19 修改执行信息
二进制扫描
二进制扫描对用户提供的二进制软件包/固件进行全面分析,通过解压获取包中所有待分析文件,基于组件特征识别技术、静态检测技术以及各种风险检测规则,获得相关被测对象的组件BOM清单和潜在风险清单,并输出一份专业的分析报告。
操作步骤:
- 新建二进制扫描用例
- 进入解决方案工作台空间,在用例管理界面用例文件夹,即,该二进制扫描用例归属哪个文件夹。
图20 新建安全自动化用例
- 配置二进制扫描用例的基本信息。
图21 配置基本信息
表7 网站扫描用例新建参数说明 参数
说明
用例名称
必填。自定义测试用例名称。建议规范用例命名,如“二进制扫描”
部署环境
必填。下拉选择该用例部署的底座环境,底座环境与关联的需求相关。
优先级
必填。下拉选择该用例的重要程度。
漏洞扫描
必填。下拉选择“二进制”。
描述
自定义对于该用例的描述信息。
前提条件
自定义输入执行该用例的前提条件。
步骤描述
输入该二进制扫描的执行步骤。
预期结果
输入该步骤执行后的预期结果。
用例附件
上传该用例需要用到的关联文件。
- 添加扫描对象:上传产品软件包或固件文件。
图22 二进制扫描对象配置
- 点击【确定】或【确定并上传文件】,完成用例新建。
- 确定:仅保存用例的基本信息,不上传扫描对象,后续执行用例前需上传扫描对象。
- 确定并上传文件:保存用例的基本信息且上传扫描对象,后续可直接执行用例。
- 进入解决方案工作台空间,在用例管理界面用例文件夹,即,该二进制扫描用例归属哪个文件夹。
- 执行二进制扫描用例,支持使用默认指标参数执行/选择指标参数分组执行。
- 执行:点击用例的【执行】,使用默认的指标参数执行。
- 指标参数分组执行:如果您的指标参数有多个,想自行选择其中的一个指标参数执行,点击【更多】—>【选择指标参数执行】在弹窗中选择您想要的指标参数分组执行。
- 查看二进制扫描结果
等待用例执行完成,击用例名称进入用例详情页,查看执行结果。在用例详情-执行结果页面,可查看到二进制扫描的详细结果,可点击修复建议的【查看】按钮查看修复建议,也可以下载报告查看具体分析。
如需使用新的指标参数进行扫描结果分析,可直接在执行历史页面修改,如上图所示。如:用户创建了多个指标参数分组,扫描完成后,可更换指标参数分组校验该二进制扫描在新指标参数分组下的扫描结果。更换后请点击【更新报告】,完成该主机扫描报告的更新。
- 更新用例执行信息(可选)
支持上传执行附件、输入结果备注,完善自动化用例的执行信息。
图23 修改执行信息