应用体检¶
服务概述¶
新浪云应用体检通过对应用进行一些常规安全测试,以帮助开发者发现自己应用程序当中潜在的安全漏洞。安全测试是通过向应用发一起一定数量的特定请求来完成的,这些请求依据应用的访问日志生成。 目前所检测的项目包括:
- 代码执行
- 目录遍历
- 文件包含
- 敏感信息泄露
- SQL注入
- 跨站
警告
应用体检服务仅仅提供参考建议,以方便开发者发现潜在的安全问题。其检测结果并不等同于应用的实际安全性。
使用示例¶
进入应用后台,点击右侧列表”应用调优”分类下的“应用体检”项目,进入应用体检页面:
选择版本后,点击“开始体检”即可对相应的版本发起一次体检,默认检查前一天应用访问日志的前一万条访问记录。 一次体检的结果会在一天左右的时间内出结果,页面下方会显示历史体检记录(只保留最近10次体检结果)。
扫描结果可能为三种状态:
- 如果前一天的日志为空,则显示“当天无日志”;
- 如果检查全部连接未发现漏洞,则显示“未查出漏洞”;
- 如果自动检测发现可疑漏洞,则会显示“查看明细”连接,点击可以查看详细检测报告。
在详细报告页面,可以看到漏洞存在的url以及出现漏洞的参数。 点击右上角可以查看漏洞修补建议。