文档首页/ 解决方案工作台/ 用户指南/ 标准空间/ 验证中心/ 用例管理/ 安全自动化用例(新版)
更新时间:2025-10-14 GMT+08:00
查看PDF
分享

安全自动化用例(新版)

本章节适用于2023年03月01日及之后在解决方案工作台上创建的需求&需求下的安全自动化用例。新版本安全自动化用例进行了体验增强,在3月1号及以后创建的需求,该需求下的安全自动化用例配置和执行均在解决方案工作台上进行。

解决方案工作台支持网站、主机、二进制扫描,扫描成功后,提供扫描报告详情,用于查看漏洞明细、修复建议等信息。安全自动化用例在需求创建完成后即可开始进行设计和执行。

如果有发布包含安全自动化用例的用例模板可以通过加载模板来新建安全自动化用例,前提是模板里的安全自动化用例符合您的现有场景,加载模板请参考加载模板,用例模板是通过已有的用例发布到解决方案工作台资产中心生成的模板,具体详情请参考上架用例模板

新建指标参数

指标参数是衡量安全扫描结果是否通过的标准,包括漏洞数量统计、等保统计、安全配置等,本步骤在执行安全自动化用例前完成即可。如果您是通过加载需求模板/用例模板的形式加载了安全自动化用例(如:联营的安全自动化用例),且该模板用例自带有指标参数,则该模板的指标参数将会同步加载过来。

  1. 在用例管理页面,选择【安全自动化】->【更多】->【指标参数】。
    图1 指标参数
  2. 进入到指标参数的管理弹窗,选择扫描对象(网站,主机,二进制),在对应选项下点击【+】点击添加指标参数,在弹窗中填写指标名称和描述后点击【确定】。
    图2 指标参数
  3. 添加指标后,选择指标,点击【添加】可以添加参数(添加指标名称和参数值,如漏洞数量),完成后点击【确定】即可。

    支持新建多个分组,如网站扫描的指标参数有多个,其中有图钉符号的为默认分组,默认分组表示在后续执行用例时默认选择该分组作为指标参数。

    如果您是通过加载用例方式加载了安全自动化用例模板,且加载时选择了该用例模板的指标参数,则您在指标参数界面可查看到用例模板的指标参数,按照实际情况修改即可。

网站扫描

Web网站扫描采用网页爬虫的方式全面深入的爬取网站url,基于多种不同能力的漏洞扫描插件,模拟用户真实浏览场景,逐个深度分析网站细节,帮助用户发现网站潜在的安全隐患。同时内置了丰富的无害化扫描规则,以及扫描速率动态调整能力,可有效避免用户网站业务受到影响。

前置条件:

如果您的网站设置了防火墙或其他安全策略,将导致安全漏洞扫描的扫描IP被当成恶意攻击者而误拦截。因此,在执行安全自动化用例前,请您将以下扫描IP添加至网站访问的白名单中:

119.3.232.114,119.3.237.223,124.70.102.147,121.36.13.144,124.70.109.117,139.9.114.20,119.3.176.1

操作步骤:

  1. 新建网站扫描用例

    1. 进入解决方案工作台空间,在用例管理界面选择左侧需求树为安全测试的需求,即,该网站扫描用例归属哪个需求描述。如还未创建,请参考需求新建创建“安全测试”类型的需求描述。
      图3 新建安全自动化用例
    2. 配置网站扫描用例的基本信息后点击【保存】即可。
      图4 配置网站的基本信息
      表1 网站扫描用例新建参数说明

      参数

      说明

      用例名称

      必填。自定义测试用例名称。建议规范用例命名,如“xx网站扫描”。

      需求描述

      必填。下拉选择需求描述,即选择该用例的归属需求。

      部署环境

      必填。下拉选择该用例部署的底座环境,底座环境与关联的需求相关。

      优先级

      必填。下拉选择该用例的重要程度。

      漏洞扫描

      必填。下拉选择扫描类型为“网站”。

      描述

      自定义对于该用例的描述信息。

      前提条件

      自定义输入执行该用例的前提条件。

      步骤描述

      输入该网站扫描的执行步骤。

      如果您已经从用例模板加载了安全自动化用例(加载方式同加载模板),即,您已经有了安全自动化用例,则点击用例的编辑按钮进入编辑页面进行设置即可。

  2. 执行用例。支持使用默认指标参数执行,支持手动导入探索文件来进行被动扫描(可选)。

    1. 添加网站,首先点击用例的【执行】按钮,在网站编辑界面填写网站信息,完成后点击【去设置】进行网站登录设置。
      图5 执行用例
      图6 配置待扫描的网站信息
      表2 网站参数说明

      参数

      说明

      目标网址

      网址登录后的URL地址,例如:http://www.domain.com/home,即自动探索的起始URL。

      域名别称

      帮助用户识别自己的域名地址,您可以填写任意方便您识别网站域名的名称。

      扫描模式

      快速扫描模式:扫描耗时最短,能检测到的漏洞相对较少;

      标准扫描模式:扫描耗时适中,能检测到的漏洞相对较多;

      深度扫描模式:扫描耗时最长,能检测到最深处的漏洞。联营商品类型的方案要求使用深度扫描模式。
    2. 网站登录设置:认证网站域名并设置网站登录信息。
      网站登录设置:点击【去设置】进入网站登录设置弹窗,参数填写参考表3
      图7 网站登录设置

      建议使用Cookie登录方式,扫描成功率较高,不建议使用Web页面登录方式,因为这种方式不支持VUE框架开发的网站,Header登录方式一般用于手动探索扫描

      表3 网站登录设置参数说明

      参数

      说明

      网站登录设置

      如果您的网站页面需要登录才能访问,请您进行登录设置,以便为您发现更多安全问题。

      登录配置分为:Web页面登录,Cookie登录,Header登录三种,任选一种即可。

      “登录方式一:Web页面登录”

      登录页面

      网站登录页面的地址。

      用户名

      登录网站的用户名。

      密码

      用户名的密码。

      确认密码

      再次输入用户名的密码。

      “登录方式二:cookie登录”

      cookie值

      如果您的网站除了需要账号密码登录,还有其他的访问机制(例如,需要输入动态验证码),则建议您设置cookie登录方式进行网站漏洞扫描,以便漏洞管理服务能为您发现更多安全问题。

      设置cookie登录方式时需要输入网站的cookie值。

      有关获取登录网站的cookie值的详细操作,请参见如何获取网站cookie值?

      说明:
      • 获取cookie值后,在创建扫描任务时,请您保持网站的登录状态,以免cookie失效。
      • 漏洞管理服务的Cookie登录支持设置“以分号分隔的键值对”和“JSON”两种格式cookie值。
      • 您可以按需裁剪或修改浏览器插件获取的数据,保持正确的JSON格式并提供必要的cookie和storage值即可。

      “登录方式三:Header登录”

      自定义Header

      配置HTTP请求头部。通过key-value自定义设置请求头部信息登录,例如通过Token登录。
    3. 点击【执行】,使用默认的指标参数执行。
      图8 执行用例

  3. 查看执行结果

    等待用例执行完成,点击用例名称进入用例详情页,在用例详情-执行结果页面,可查看到网站扫描的详细结果,可点击修复建议的【查看】按钮查看修复建议,也可以下载报告查看具体分析。

    图9 网站扫描结果

    如需使用新的指标参数对扫描结果进行校验,可在执行结果页面修改。

    如:用户创建了多个指标参数分组,扫描完成后,可更换指标参数分组校验该网站扫描在新指标参数分组下的扫描结果。在【预设指标参数】下更换后请点击【同步】,完成该网站扫描报告的更新。

主机扫描

经过用户授权(支持账密授权)访问用户主机,漏洞扫描服务能够自动发现并检测主机操作系统、中间件等版本漏洞信息和基线配置,实时同步官网更新的漏洞库匹配漏洞特征,帮助用户及时发现主机安全隐患。

漏洞扫描服务支持添加Linux操作系统,支持主机漏洞扫描、基线检测、等保合规检测。

  1. 新建主机扫描用例

    1. 进入解决方案工作台空间,在用例管理界面选择左侧需求树为安全测试的描述,即,该主机扫描用例归属哪个需求描述。如还未创建,请参考需求新建创建“安全测试”类型的需求描述。

      如果您已经从用例模板加载了安全自动化用例(加载方式同加载模板),即,您已经有了安全自动化用例,则点击用例的编辑按钮进入编辑页面进行设置即可。

      图10 新建安全自动化用例
    2. 配置主机扫描用例的基本信息,然后点击【保存】即可。
      图11 主机扫描基本信息
      表4 主机扫描用例新建参数说明

      参数

      说明

      用例名称

      必填。自定义测试用例名称。建议规范用例命名,如“主机扫描”。

      需求描述

      必填。下拉选择需求描述,即选择该用例的归属需求。

      部署环境

      必填。下拉选择该用例部署的底座环境,底座环境与关联的需求相关。

      优先级

      必填。下拉选择该用例的重要程度。

      漏洞扫描

      必填。下拉选择“主机”。

      描述

      自定义对于该用例的描述信息。

      前提条件

      自定义输入执行该用例的前提条件。

  2. 执行主机扫描用例,支持使用默认指标参数执行。

    1. 点击用例的【执行】按钮,进入到主机配置界面,点击【添加主机】添加待扫描主机。
      • 主机名称:用户需要添加的主机名称。自定义即可,便于区分主机。
      • 操作系统类型:选择被扫描主机的操作系统类型。
      • IP地址:添加主机的IP地址。
      图12 执行用例
      图13 添加待扫描的主机信息
      • 如果用户有多台主机待扫描且主机可公网访问,则直接添加主机即可;
      • 如果用户的主机需要通过代理IP才能访问(即,用户待扫描的主机在内网地址),需要使用跳板机,则可在此处填写主机的内网IP地址,且在后续步骤中需要配置跳板机。
    2. 添加主机后,点击【下一步】,配置主机-授权主机。

      在需要配置的主机后面点击【配置授权信息】,可以添加SSH授权登录,也可以使用已有的SSH授权。配置完成后单击【确定】,完成主机授权。

      图14 配置授权信息
      图15 选择已有SSH授权
      表5 Linux授权参数说明

      参数

      说明

      SSH授权别称

      自定义SSH授权名称。

      登录端口

      SSH授权登录的端口号。

      请确保安全组已添加该端口,以便主机可通过该端口访问VSS。

      选择登录方式

      分为“密码登录”和“密钥登录”。

      选择加密密钥

      为了保护主机登录密码或密钥安全,请您必须使用加密密钥,以避免登录密码或密钥明文存储和泄露风险。

      您可以选择已有的加密密钥,如果没有可选的加密密钥,请单击“创建密钥”,创建VSS专用的默认主密钥。

      Root权限是否加固

      打开该权限后,不可以用root账号直接登录,而只能通过普通用户登录,然后才能切换到root用户。

      sudo用户名

      默认为root。

      sudo密码

      设置sudo用户对应的密码,单击“加密保存”,对密码进行加密保存。

      1.配置主机授权后,您可以删除主机授权,删除后将不能完全扫描出主机的安全风险。点击已配置的主机右侧的【配置授权信息】,在弹窗界面选择删除授权信息即可。

      2.不管有没有配置跳板机,都需要配置主机授权信息,否则不能完全扫描出主机的安全风险。

    3. 配置跳板机

      如果用户的主机需要通过代理IP才能访问,请先配置跳板机;如果用户的主机可公网访问,请跳过本步骤。

      在需要配置的主机后面点击【配置跳板机】可以添加跳板机,也可以选择已有的跳板机。当前仅支持添加Linux系统跳板机。

      图16 配置跳板机
      表6 跳板机配置参数说明

      参数

      说明

      主机名称

      自定义跳板机名称。

      公网IP

      填写该跳板机绑的公网IP。

      登录端口

      SSH授权登录的端口号。

      请确保安全组已添加该端口,以便主机可通过该端口访问VSS。

      选择登录方式

      分为“密码登录”和“密钥登录”。

      选择加密密钥

      为了保护主机登录密码或密钥安全,请您必须使用加密密钥,以避免登录密码或密钥明文存储和泄露风险。

      您可以选择已有的加密密钥,如果没有可选的加密密钥,请单击“创建密钥”,创建VSS专用的默认主密钥。

      用户名

      跳板机的登录用户名,默认为root。

      密码

      设置sudo用户对应的密码,单击“加密保存”,对密码进行加密保存。
    4. 执行主机扫描。在配置主机完成后,点击【执行】按钮,即可使用默认指标参数扫描主机。
      图17 执行扫描

  3. 查看主机扫描结果

    等待用例执行完成,击用例名称进入用例详情页,查看执行结果。在用例详情-执行结果页面,可查看到主机扫描的详细结果,可点击修复建议的【查看】按钮查看修复建议,也可以下载报告查看具体分析。

    图18 查看主机扫描结果

    如需使用新的指标参数进行扫描结果分析,可直接在执行结果页面修改,如上图所示。如:用户创建了两个指标参数分组,扫描完成后,可更换指标参数分组校验该主机扫描在新指标参数分组下的扫描结果。更换后请点击【更新报告】,完成该主机扫描报告的更新。

二进制扫描

二进制扫描对用户提供的二进制软件包/固件进行全面分析,通过解压获取包中所有待分析文件,基于组件特征识别技术、静态检测技术以及各种风险检测规则,获得相关被测对象的组件BOM清单和潜在风险清单,并输出一份专业的分析报告。

操作步骤:

  1. 新建二进制扫描用例

    1. 进入解决方案工作台空间,在用例管理界面选择左侧需求树为安全测试的描述,即,该二进制扫描用例归属哪个需求描述。如还未创建,请参考需求新建创建“安全测试”类型的需求描述。
      图19 新建安全自动化用例
    2. 配置二进制扫描用例的基本信息。
      图20 配置基本信息
      表7 网站扫描用例新建参数说明

      参数

      说明

      需求描述

      必填。下拉选择需求描述,即选择该用例的归属需求。

      用例名称

      必填。自定义测试用例名称。建议规范用例命名,如“二进制扫描”

      部署环境

      必填。下拉选择该用例部署的底座环境,底座环境与关联的需求相关。

      优先级

      必填。下拉选择该用例的重要程度。

      漏洞扫描

      必填。下拉选择“二进制”。

      描述

      自定义对于该用例的描述信息。

      前提条件

      自定义输入执行该用例的前提条件。
    3. 添加扫描对象:上传产品软件包或固件文件。
      图21 二进制扫描对象配置
    4. 点击【确定】或【确定并上传文件】,完成用例新建。
      • 确定:仅保存用例的基本信息,不上传扫描对象,后续执行用例前需上传扫描对象。
      • 确定并上传文件:保存用例的基本信息且上传扫描对象,后续可直接执行用例。

  2. 执行二进制扫描用例,支持使用默认指标参数执行。

    1. 添加扫描对象:上传产品软件包或固件文件。在用例管理界面点击二进制用例的【执行】按钮,进入文件上传页面。
      图22 执行用例
    2. 点击【上传文件】,选择待扫描的二进制包上传。
      图23 上传文件
    3. 完成上传文件后,点击【执行】按钮即可开始扫描。
      图24 执行扫描

  3. 查看二进制扫描结果

    等待用例执行完成,击用例名称进入用例详情页,查看执行结果。在用例详情-执行结果页面,可查看到二进制扫描的详细结果,可点击修复建议的【查看】按钮查看修复建议,也可以下载报告查看具体分析。

    如需使用新的指标参数进行扫描结果分析,可直接在执行历史页面修改,如上图所示。如:用户创建了多个指标参数分组,扫描完成后,可更换指标参数分组校验该二进制扫描在新指标参数分组下的扫描结果。更换后请点击【更新报告】,完成该主机扫描报告的更新。

父主题: 用例管理

相关文档