安全自动化用例(旧版)
本章节适用于2023年03月01日之前在解决方案工作台上创建的需求&需求下的安全自动化用例。
解决方案工作台集成了漏洞扫描服务(Vulnerability Scan Service,简称VSS)进行网站、主机、二进制扫描,扫描成功后,提供扫描报告详情,用于查看漏洞明细、修复建议等信息。安全自动化用例在需求创建完成后即可开始进行设计和执行。
授权安全自动化委托
解决方案工作台需要您授权使用VSS服务,进行性能自动化测试的测试资源管理。解决方案工作台将会在您使用到安全自动化的时候弹出弹窗,届时您在弹窗上点击授权即可,无需手动创建委托。委托仅需授权一次。
系统角色 |
描述 |
类别 |
依赖 |
---|---|---|---|
VSS Administrator |
漏洞扫描服务的管理员权限。 |
系统角色 |
无 |
KMS Administrator |
数据加密服务(KMS)管理员,拥有该服务下的所有权限 |
系统角色 |
无 |
授权失败怎么办?
如果点击授权弹出“授权失败,缺少权限”等相关提示,请确认您的账号是否具有授权权限(IAM用户默认没有权限,不能进行委托授权操作)。
- 方式一:联系您账号下有权限的用户(如主账号)进行委托授权。
- 方式二:参考下述步骤,联系您账号下的管理员给您的账号添加管理权限,有权限后才可授权委托。
- 主账号/拥有管理员权限的账号登录IAM控制台。
- 创建用户组(自定义名称,方便归类),并将需要授权管理员的IAM用户加入该用户组。
- 在统一身份认证服务左侧导航窗格中,选择该用户组,单击授权。
图2 进入用户组授权页面
- 搜索“Security Administrator”权限并勾选。
图3 给用户组授权Security Administrator”权限
- 选择授权范围为“所有资源”。
图4 选择授权范围
- 点击“确定”完成“Security Administrator”权限添加。
添加安全自动化使用权限
解决方案工作台性能自动化用例集成了VSS,所以要求您进行安全自动化用例设计/执行的账号拥有VSS的使用权限。
主账号默认拥有所有权限,而IAM用户默认没有任务权限,无法使用VSS。如果您使用的是IAM用户,请联系您的账号管理员为您添加VSS使用权限;如果您使用的是主账号,可忽略本小节。
系统角色 |
描述 |
依赖 |
---|---|---|
VSS Administrator |
漏洞扫描服务的管理员权限。 |
依赖Tenant Guest和Server Administrator角色。
|
- 主账号/拥有管理员权限的账号登录IAM控制台。
- 创建用户组(自定义名称,方便归类,如“VSS权限”)/使用已有用户组,并将需要授权VSS权限的IAM用户加入该用户组。
- 在统一身份认证服务左侧导航窗格中,选择该用户组,单击授权。
图5 进入用户组授权页面
- 给用户则授权以下权限。
图6 给用户组授权权限
- 选择授权范围为“所有资源 ”。
- 点击“确定”完成“权限添加。
购买安全扫描配额
解决方案工作台集成了VSS服务进行安全自动化扫描,VSS按照扫描配额包个数进行收费,可在安全自动化用例管理界面查看到当前账号的配额。如配额不足,可在【新建】或【编辑】安全自动化页面进行配额购买。配额购买类型:
- 漏洞扫描服务类型:用于进行网站扫描和主机扫描;
- 二进制成分分析类型:用于进行二进制扫描。
网站扫描
Web网站扫描采用网页爬虫的方式全面深入的爬取网站url,基于多种不同能力的漏洞扫描插件,模拟用户真实浏览场景,逐个深度分析网站细节,帮助用户发现网站潜在的安全隐患。同时内置了丰富的无害化扫描规则,以及扫描速率动态调整能力,可有效避免用户网站业务受到影响。
前置条件:
- 已授权VSS委托,参考授权安全自动化委托;
- 进行安全自动化用例设计和执行的账号拥有VSS的使用权限,参考添加安全自动化使用权限;
- 执行网站扫描前,已购买漏洞扫描服务配额,参考购买安全扫描配额。
- 如果您的网站设置了防火墙或其他安全策略,将导致VSS的扫描IP被当成恶意攻击者而误拦截。因此,在使用VSS前,请您将以下VSS的扫描IP添加至网站访问的白名单中:
119.3.232.114,119.3.237.223,124.70.102.147,121.36.13.144,124.70.109.117,139.9.114.20,119.3.176.1
操作步骤:
- 新建网站扫描用例
- 进入解决方案工作台空间,在用例管理界面选择左侧需求树为安全测试的描述,即,该网站扫描用例归属哪个需求描述。如还未创建,请参考需求新建创建“安全测试”类型的需求描述。
图10 新建安全自动化用例
- 配置网站扫描用例的基本信息。
表3 网站扫描用例新建参数说明 参数
说明
需求描述
必填。下拉选择需求描述,即选择该用例的归属需求。
用例名称
必填。自定义测试用例名称。建议规范用例命名,如“xx网站扫描”。
部署环境
必填。下拉选择该用例部署的底座环境,底座环境与关联的需求相关。
优先级
必填。下拉选择该用例的重要程度。
漏洞扫描
必填。下拉选择“网站”。
描述
自定义对于该用例的描述信息。
前提条件
自定义输入执行该用例的前提条件。
步骤描述
输入该网站扫描的执行步骤。
预期结果
输入该步骤执行后的预期结果。
用例附件
上传该用例需要用到的关联文件。
- 配置待扫描的网站信息。
表4 网站参数说明 参数
说明
域名/IP地址
填写待扫描网站的域名/IP地址,要求是可公网访问的域名或IP地址,暂不支持扫描内网IP。
域名别称
帮助用户识别自己的域名地址,您可以填写任意方便您识别网站域名的名称。
目标网址
在输入框中补充待扫描网站的完整URL。
扫描模式:
快速扫描模式:扫描耗时最短,能检测到的漏洞相对较少;
标准扫描模式:扫描耗时适中,能检测到的漏洞相对较多;
深度扫描模式:扫描耗时最长,能检测到最深处的漏洞。联营商品类型的方案要求使用深度扫描模式。
图11 配置待扫描的网站信息
- 点击【确定并配置域名】,完成用例新建。
如果您已经从用例模板加载了安全自动化用例(加载方式同加载模板),即,您已经有了安全自动化用例,则点击用例的编辑按钮进入编辑页面进行设置即可。
- 进入解决方案工作台空间,在用例管理界面选择左侧需求树为安全测试的描述,即,该网站扫描用例归属哪个需求描述。如还未创建,请参考需求新建创建“安全测试”类型的需求描述。
- 域名认证
用例新建完成后,自动进入该用例的详情页面,点击【去认证】。请仔细阅读免认证使用须知,确认符合条件后,勾选知情按钮,完成域名认证。
图12 域名认证入口
图13 域名免认证
图14 认证完成
- 网站登录设置
如果您的网站页面需要登录才能访问,必须进行网站登录设置,以便VSS能为您发现更多安全问题。
- 在用例基本信息界面,点击“查看详情”跳转至VSS界面。
- 在VSS界面找到您的网站配置项,点击【编辑】。
- 在域名编辑页面,根据需要修改“网站信息”和“网站登录设置”,参数填写说明如表5所示。
图15 编辑页面
表5 网站登录设置参数说明 参数
说明
网站信息修改
域名/IP地址
未认证的域名可修改。
VSS不支持修改已认证域名的“域名/IP地址”,如需修改,请删除域名后,重新创建新的域名。
域名别称
自定义的域名名称,可修改。
网站登录设置
如果您的网站页面需要登录才能访问,请您进行登录设置,以便VSS能为您发现更多安全问题。
- 如果您的网站仅需要账号密码就可以登录访问,设置方式一即可。
- 如果您的网站除了需要账号密码登录,还有其他的访问限制,如需要输入动态验证码,必须设置方式二。
“登录方式一:账号密码登录”
登录页面
网站登录页面的地址。
用户名
登录网站的用户名。
密码
用户名的密码。
确认密码
再次输入用户名的密码。
“登录方式二:cookie登录”
cookie值
输入登录网站的cookie值。
有关获取登录网站的cookie值的详细操作,请参见如何获取网站cookie值?
说明:- 如果使用cookie登录时,没有获取到cookie值,您可以在“高级配置”中通过添加自定义Header的方式进行登录。
- 添加自定义Header时,请获取会话相关的HTTP请求头。常见的如:带有Token或Session字样的HTTP请求头。
验证登录网址
登录成功后才能访问的网址,便于VSS快速判断您的登录信息是否有效。
自定义Header
配置HTTP请求头部。最多可添加5个自定义HTTP请求头。
当待扫描的网站需要请求中附带特殊的HTTP请求头时,可以通过自定义Header进行设置。
- 阅读《华为云漏洞扫描服务声明》后,勾选“我已阅读并同意《华为云漏洞扫描服务声明》”,单击“确定”。
- 添加指标参数
在用例管理-安全自动化界面,选择“更多>指数参数>网站>点击添加指标参数”填写参数,用于和安全扫描报告对比校验判断用例执行结果。操作步骤参考新建指标参数。
图16 网站扫描指标参数
如果您是通过加载用例方式加载了安全自动化用例模板,且加载时选择了该用例模板的指标参数,则您在指标参数界面可查看到用例模板的指标参数,按照实际情况修改即可。
- 执行用例
- 执行:使用默认的指标参数执行。
- 指标参数分组执行:如果您的指标参数有多个,想自行选择其中的一个指标参数,可选择本选项后在弹窗中选择您想要的指标参数分组。
图17 执行用例
- 等待用例执行完成,点击用例名称进入用例详情页,查看执行结果。
在用例详情-执行历史页面,可查看到网站扫描的详细结果,可点击修复建议的【查看】按钮查看修复建议,也可以下载报告查看具体分析。
图18 网站扫描结果
- 如需使用新的指标参数进行结果检查,可直接在执行历史页面修改。
如:用户创建了两个指标参数分组,扫描完成后,可更换指标参数分组校验该网站扫描在新指标参数分组下的扫描结果。图19 同步新的指标参数
- 如扫描不通过,可按照修复建议进行修复后重新扫描。
主机扫描
经过用户授权(支持账密授权)访问用户主机,漏洞扫描服务能够自动发现并检测主机操作系统、中间件等版本漏洞信息和基线配置,实时同步官网更新的漏洞库匹配漏洞特征,帮助用户及时发现主机安全隐患。
漏洞扫描服务支持添加Linux操作系统和Windows操作系统的主机。
- Linux主机扫描支持主机漏洞扫描、基线检测、等保合规检测。
- Windows主机扫描目前仅支持主机漏洞扫描。
前置条件:
- 已授权VSS委托,参考授权安全自动化委托;
- 进行安全自动化用例设计和执行的账号拥有VSS的使用权限,参考添加安全自动化使用权限;
- 执行主机扫描前,已购买漏洞扫描服务配额,参考购买安全扫描配额。
操作步骤:
- 新建主机扫描用例
- 进入解决方案工作台空间,在用例管理界面选择左侧需求树为安全测试的描述,即,该主机扫描用例归属哪个需求描述。如还未创建,请参考需求新建创建“安全测试”类型的需求描述。
如果您已经从用例模板加载了安全自动化用例(加载方式同加载模板),即,您已经有了安全自动化用例,则点击用例的编辑按钮进入编辑页面进行设置即可。图20 新建安全自动化用例
- 配置主机扫描用例的基本信息。
表6 网站扫描用例新建参数说明 参数
说明
需求描述
必填。下拉选择需求描述,即选择该用例的归属需求。
用例名称
必填。自定义测试用例名称。建议规范用例命名,如“主机扫描”。
部署环境
必填。下拉选择该用例部署的底座环境,底座环境与关联的需求相关。
优先级
必填。下拉选择该用例的重要程度。
漏洞扫描
必填。下拉选择“主机”。
描述
自定义对于该用例的描述信息。
前提条件
自定义输入执行该用例的前提条件。
步骤描述
输入该主机扫描的执行步骤。
预期结果
输入该步骤执行后的预期结果。
用例附件
上传该用例需要用到的关联文件。
图21 主机扫描基本信息
- 添加待扫描的主机信息。
- 主机名称:用户需要添加的主机名称。自定义即可,便于区分主机。
- IP地址:添加待扫描主机的IP地址。
图22 添加待扫描的主机信息
- 如果用户有多台主机待扫描且主机可公网访问,则直接添加多台即可;
- 如果用户的主机需要通过代理IP才能访问(即,用户待扫描的主机在内网地址),需要使用跳板机,在此处填写主机的内网IP地址,且在后续步骤中需要配置跳板机。
- 完成后点击【确定并配置主机】,完成用例新建并跳转至VSS界面。
- 进入解决方案工作台空间,在用例管理界面选择左侧需求树为安全测试的描述,即,该主机扫描用例归属哪个需求描述。如还未创建,请参考需求新建创建“安全测试”类型的需求描述。
- 添加跳板机
如果用户的主机需要通过代理IP才能访问,请先配置跳板机;如果用户的主机可公网访问,请跳过本步骤。
- 点击【确定并配置主机】后跳转至VSS界面。
- 选择对应的主机扫描任务。如果有多台主机待扫描,则每台主机均需要编辑。如果多台主机对应的跳板机信息相同,可直接选中多台主机-批量操作-编辑。
图23 VSS控制台
- 点击【编辑】,进入主机登录信息配置页面,点击【配置跳板机】。支持单独配置或批量配置。
图24 配置跳板机
表7 跳板机配置参数说明 参数
说明
主机名称
自定义跳板机名称。
公网IP
填写给跳板机绑的公网IP
登录端口
SSH授权登录的端口号。
请确保安全组已添加该端口,以便主机可通过该端口访问VSS。
选择登录方式
分为“密码登录”和“密钥登录”。
选择加密密钥
为了保护主机登录密码或密钥安全,请您必须使用加密密钥,以避免登录密码或密钥明文存储和泄露风险。
您可以选择已有的加密密钥,如果没有可选的加密密钥,请单击“创建密钥”,创建VSS专用的默认主密钥。
用户名
默认为root。
密码
设置sudo用户对应的密码,单击“加密保存”,对密码进行加密保存。
图25 配置跳板机
- 配置主机授权
- 在解决方案工作台的用例详情点击【确定并配置主机】后跳转至VSS界面。
- 选择对应的主机扫描任务。如果有多台主机待扫描,则每台主机均需要编辑。如果多台主机对应的跳板机信息相同,可直接选中多台主机-批量操作-编辑。
- 在主机登录信息配置页面,点击【编辑】,进入主机授权信息配置页面,点击【配置授权信息】。支持单独配置或批量配置。
图26 配置授权信息入口
- 选择授权方式进行主机授权。可选择已有授权进行编辑,或者创建新的授权。
图27 SSH授权
表8 Linux授权参数说明 参数
说明
SSH授权别称
自定义SSH授权名称。
登录端口
SSH授权登录的端口号。
请确保安全组已添加该端口,以便主机可通过该端口访问VSS。
选择登录方式
分为“密码登录”和“密钥登录”。
选择加密密钥
为了保护主机登录密码或密钥安全,请您必须使用加密密钥,以避免登录密码或密钥明文存储和泄露风险。
您可以选择已有的加密密钥,如果没有可选的加密密钥,请单击“创建密钥”,创建VSS专用的默认主密钥。
Root权限是否加固
打开该权限后,不可以用root账号直接登录,而只能通过普通用户登录,然后才能切换到root用户。
sudo用户名
默认为root。
sudo密码
设置sudo用户对应的密码,单击“加密保存”,对密码进行加密保存。
表9 Windows授权参数说明 参数
说明
windows授权别称
自定义windows授权名称。
选择加密密钥
为了保护主机登录密码或密钥安全,请您必须使用加密密钥,以避免登录密码或密钥明文存储和泄露风险。
您可以选择已有的加密密钥,如果没有可选的加密密钥,请单击“创建密钥”,创建VSS专用的默认主密钥。
用户名
windows系统登录密码。
密码
设置sudo用户对应的密码,单击“加密保存”,对密码进行加密保存。
账号域
查看该windows系统的账号域并填写到此处,该参数也可以为空,不填写。
- 单击“确定”,完成主机授权。
- 配置主机授权后,您可以取消主机授权,取消主机授权后,将不能完全扫描出主机的安全风险。有关取消主机授权的详细操作,请参见取消主机授权。
- Windows主机漏洞扫描依赖于winrm服务开启,如何开启请参照如何开启winrm服务。
- 主机互通性测试
回到解决方案工作台的用例管理页面,点击主机扫描自动化用例的用例名称,进入到用例详情页面,点击【检查全部连通性】,需互通性检测全部通过方可进行后续扫描,否则会扫描失败。
图28
- 执行主机扫描用例
- 方式一为默认参数执行:点击用例的【更多】->【执行】(使用默认指标参数执行),使用默认的指标参数执行。
- 方式二为指标参数分组执行:如果您的指标参数有多个,想自行选择其中的一个指标参数,可选择本选项后在弹窗中选择您想要的指标参数分组。
- 等待用例执行完成,击用例名称进入用例详情页,查看执行结果。
在用例详情-执行历史页面,可查看到主机扫描的详细结果,可点击修复建议的【查看】按钮查看修复建议,也可以下载报告查看具体分析。
- 如需使用新的指标参数进行扫描结果分析,可直接在执行历史页面修改。如上图所示。
如:用户创建了两个指标参数分组,扫描完成后,可更换指标参数分组校验该主机扫描在新指标参数分组下的扫描结果。
- 如扫描结果为不通过,请参考修复建议完成修复后重新扫描。
二进制扫描
二进制扫描对用户提供的二进制软件包/固件进行全面分析,通过解压获取包中所有待分析文件,基于组件特征识别技术、静态检测技术以及各种风险检测规则,获得相关被测对象的组件BOM清单和潜在风险清单,并输出一份专业的分析报告。
前置条件:
- 已授权VSS委托,参考授权安全自动化委托;
- 进行安全自动化用例设计和执行的账号拥有VSS的使用权限,参考添加安全自动化使用权限;
- 执行网站扫描前,已购买漏洞扫描服务配额,参考购买安全扫描配额。
- 新建指标参数,用于和扫描结果进行校验判断扫描是否通过,参考新建指标参数。
- 进入解决方案工作台空间,在用例管理界面选择左侧需求树为安全测试的描述,即,该二进制扫描用例归属哪个需求描述。如还未创建,请参考需求新建创建“安全测试”类型的需求描述。
如果您已经从需求模板加载了安全自动化用例(加载方式同加载模板),即,您已经有了安全自动化用例,则点击用例的编辑按钮进入编辑页面进行设置即可。图29 新建安全自动化用例
- 配置二进制扫描用例的基本信息。
表10 网站扫描用例新建参数说明 参数
说明
需求描述
必填。下拉选择需求描述,即选择该用例的归属需求。
用例名称
必填。自定义测试用例名称。建议规范用例命名,如“二进制扫描”
部署环境
必填。下拉选择该用例部署的底座环境,底座环境与关联的需求相关。
优先级
必填。下拉选择该用例的重要程度。
漏洞扫描
必填。下拉选择“二进制”。
描述
自定义对于该用例的描述信息。
前提条件
自定义输入执行该用例的前提条件。
步骤描述
输入该二进制扫描的执行步骤。
预期结果
输入该步骤执行后的预期结果。
用例附件
上传该用例需要用到的关联文件。
- 上传二进制扫描对象(上传产品软件包或固件文件)。
- 选择指标参数,即用来判断该二进制安全自动化扫描用例是否通过的参数。
图30 二进制扫描对象配置
- 完成后点击【确定并执行用例】,即可新建并直接执行用例。
和其他类型用例不同,二进制漏洞扫描自动化用例在新建用例时点击【确定并执行用例】就会被执行,请确认无误后再点击执行。如果点击的是【确定】,则二进制压缩包将不会被上传,您可以后续进入编辑页重新上传并点击【确定并执行用例】来执行用例。
- 等待用例执行完成,进入用例的执行历史页面可查看执行结果和详情。