GSP112

Informações gerais

O Web Security Scanner, um dos serviços integrados do Security Command Center, identifica vulnerabilidades de segurança nos aplicativos da Web que estão no Google App Engine, Google Kubernetes Engine (GKE) e Compute Engine. Ele segue todos os links no escopo dos URLs iniciais para rastrear seu aplicativo e tenta acessar o máximo possível de entradas do usuário e manipuladores de eventos.

O scanner é projetado para complementar os processos existentes de projeto e desenvolvimento seguros. Para que os desenvolvedores não sejam distraídos com falsos positivos, o scanner toma o devido cuidado na geração de relatórios e deixa de exibir alertas de baixa confiança. Ele não substitui uma análise de segurança manual e não garante que seu aplicativo esteja livre de falhas de segurança.

Configuração

Antes de clicar no botão Start Lab

Leia estas instruções. Os laboratórios são cronometrados e não podem ser pausados. O timer é iniciado quando você clica em Começar o laboratório e mostra por quanto tempo os recursos do Google Cloud vão ficar disponíveis.

Este laboratório prático permite que você realize as atividades em um ambiente real de nuvem, não em uma simulação ou demonstração. Você vai receber novas credenciais temporárias para fazer login e acessar o Google Cloud durante o laboratório.

Confira os requisitos para concluir o laboratório:

• Acesso a um navegador de Internet padrão (recomendamos o Chrome).

Observação: para executar este laboratório, use o modo de navegação anônima ou uma janela anônima do navegador. Isso evita conflitos entre sua conta pessoal e a conta de estudante, o que poderia causar cobranças extras na sua conta pessoal.

• Tempo para concluir o laboratório---não se esqueça: depois de começar, não será possível pausar o laboratório.

Observação: não use seu projeto ou conta do Google Cloud neste laboratório para evitar cobranças extras na sua conta.

Como iniciar seu laboratório e fazer login no console do Google Cloud

1. Clique no botão Começar o laboratório. Se for preciso pagar, você verá um pop-up para selecionar a forma de pagamento. No painel Detalhes do laboratório à esquerda, você vai encontrar o seguinte:

   • O botão Abrir console do Google Cloud
   • O tempo restante
   • As credenciais temporárias que você vai usar neste laboratório
   • Outras informações, se forem necessárias

2. Se você estiver usando o navegador Chrome, clique em Abrir console do Google Cloud ou clique com o botão direito do mouse e selecione Abrir link em uma janela anônima.

   O laboratório ativa os recursos e depois abre a página Fazer login em outra guia.

   Dica: coloque as guias em janelas separadas lado a lado.

   Observação: se aparecer a caixa de diálogo Escolher uma conta, clique em Usar outra conta.

3. Se necessário, copie o Nome de usuário abaixo e cole na caixa de diálogo Fazer login.

   {{{user_0.username | "Nome de usuário"}}}

   Você também encontra o Nome de usuário no painel Detalhes do laboratório.

4. Clique em Seguinte.

5. Copie a Senha abaixo e cole na caixa de diálogo de boas-vindas.

   {{{user_0.password | "Senha"}}}

   Você também encontra a Senha no painel Detalhes do laboratório.

6. Clique em Seguinte.

   Importante: você precisa usar as credenciais fornecidas no laboratório, e não as da sua conta do Google Cloud. Observação: se você usar sua própria conta do Google Cloud neste laboratório, é possível que receba cobranças adicionais.

7. Acesse as próximas páginas:

   • Aceite os Termos e Condições.
   • Não adicione opções de recuperação nem autenticação de dois fatores (porque essa é uma conta temporária).
   • Não se inscreva em testes gratuitos.

Depois de alguns instantes, o console do Google Cloud será aberto nesta guia.

Observação: clique em Menu de navegação no canto superior esquerdo para acessar uma lista de produtos e serviços do Google Cloud.

Ativar o Cloud Shell

O Cloud Shell é uma máquina virtual com várias ferramentas de desenvolvimento. Ele tem um diretório principal permanente de 5 GB e é executado no Google Cloud. O Cloud Shell oferece acesso de linha de comando aos recursos do Google Cloud.

1. Clique em Ativar o Cloud Shell na parte de cima do console do Google Cloud.

Depois de se conectar, vai notar que sua conta já está autenticada, e que o projeto está configurado com seu PROJECT_ID. A saída contém uma linha que declara o projeto PROJECT_ID para esta sessão:

Your Cloud Platform project in this session is set to YOUR_PROJECT_ID

gcloud é a ferramenta de linha de comando do Google Cloud. Ela vem pré-instalada no Cloud Shell e aceita preenchimento com tabulação.

2. (Opcional) É possível listar o nome da conta ativa usando este comando:

gcloud auth list

3. Clique em Autorizar.

4. A saída será parecida com esta:

Saída:

ACTIVE: * ACCOUNT: student-01-xxxxxxxxxxxx@qwiklabs.net To set the active account, run: $ gcloud config set account `ACCOUNT`

5. (Opcional) É possível listar o ID do projeto usando este comando:

gcloud config list project

Saída:

[core] project = <project_ID>

Exemplo de saída:

[core] project = qwiklabs-gcp-44776a13dea667a6 Observação: para conferir a documentação completa da gcloud, acesse o guia com informações gerais sobre a gcloud CLI no Google Cloud.

Tarefa 1: antes de começar, você vai precisar de um aplicativo para fazer a verificação

Neste laboratório, você vai implantar um aplicativo de amostra Hello World para usar o Security Scanner.

1. Execute o comando abaixo no Cloud Shell para clonar o repositório do app de amostra Hello World:

gsutil -m cp -r gs://spls/gsp067/python-docs-samples .

2. Acesse o diretório que contém o exemplo de código:

cd python-docs-samples/appengine/standard_python3/hello_world

3. Execute o comando abaixo e adicione itsdangerous==2.0.1, Jinja2==3.0.3 e werkzeug==2.0.1 ao arquivo requirements.txt:

nano requirements.txt

O arquivo vai ficar assim:

Flask==1.1.2 itsdangerous==2.0.1 Jinja2==3.0.3 werkzeug==2.0.1

4. Salve o arquivo (pressione Ctrl+O, depois pressione Enter) e saia do nano (pressione Ctrl+X).

Observação: o pacote itsdangerous==2.0.1 será adicionado ao arquivo requirements.txt para transmitir dados a ambientes não confiáveis e recebê-los de volta com segurança.

Tarefa 2: teste o aplicativo

1. No diretório hello_world, onde está o arquivo de configuração app.yaml do app, inicie o servidor de desenvolvimento local executando o seguinte comando:

dev_appserver.py app.yaml

2. O servidor de desenvolvimento local agora está sendo executado e recebendo as solicitações na porta 8080. Clique no botão Visualização da Web no Cloud Shell e selecione Visualizar na porta 8080 para acessá-lo:

Observação: se o ícone de visualização da Web não estiver disponível, feche o menu de navegação no canto superior esquerdo.

3. Pressione Ctrl+C para interromper o app local e voltar à linha de comando.

Tarefa 3: implante o aplicativo

Neste laboratório, use como região do App Engine.

1. Para implantar o aplicativo no App Engine, execute o seguinte comando no diretório raiz do aplicativo (hello_world):

gcloud app deploy

2. Você precisará escolher uma região. Selecione o número da que está mais perto de você.

3. Após a criação do app no seu laboratório, você verá uma opção para continuar. Clique em Y para continuar.

A implantação do app vai começar em seguida.

Tarefa 4: confira o app

• Para iniciar o app no navegador, execute o seguinte comando:

gcloud app browse

Você pode usar um link que está no Cloud Shell ou acessar o app em http://[YOUR_PROJECT_ID].uc.r.appspot.com. Esse é o URL que será verificado em busca de vulnerabilidades. Ele será adicionado aos parâmetros de verificação na próxima etapa.

Teste a tarefa concluída

Clique em Verificar meu progresso para conferir a tarefa realizada. Se você concluiu a tarefa, vai receber uma pontuação de avaliação.

Implante o aplicativo de amostra no App Engine.

Tarefa 5: execute a verificação

A verificação não é executada imediatamente. Ela fica na fila e é executada mais tarde. Isso pode levar algumas horas, dependendo da carga atual. Saiba mais sobre essas configurações de formulário em Como usar o Web Security Scanner.

1. Acesse Menu de navegação > APIs e serviços > Biblioteca.

2. Em "Procurar APIs e serviços", digite Web Security Scanner.

3. Clique em Ativar API para ativar a API Web Security Scanner.

4. No Menu de navegação, selecione Segurança > Web Security Scanner.

5. Clique em Nova verificação.

6. Em Starting URL 1, insira o URL do aplicativo que você quer verificar.

7. Clique em Salvar para criar a verificação.

8. Clique em Executar para iniciar a verificação:

A verificação será colocada na fila, e você poderá acompanhar o andamento da barra de status durante o procedimento. A página de informações gerais da verificação vai mostrar uma seção de resultados quando ela for concluída. A imagem a seguir mostra um exemplo dos resultados de uma verificação quando nenhuma vulnerabilidade é detectada:

Observação: pode levar de 4 a 5 minutos para a verificação ser concluída. Observação: se nenhuma atualização aparecer, tente recarregar a página.

Bom trabalho! Você acabou de concluir uma verificação com o Web Security Scanner. Será exibido um aviso indicando que a verificação de apenas um URL não é ideal. O objetivo deste laboratório é apenas demonstrar um exemplo simples. Seu ambiente de produção terá muitos URLs a serem verificados.

Tarefa 6: teste seu conhecimento

Responda às perguntas de múltipla escolha a seguir para reforçar os conceitos abordados neste laboratório. Use tudo o que aprendeu até aqui.

Parabéns!

Termine a Quest

Este laboratório autoguiado faz parte das Quests Baseline: Deploy & Develop e Security & Identity Fundamentals. Uma Quest é uma série de laboratórios relacionados que formam um programa de aprendizado. Ao concluir uma Quest, você ganha um selo como reconhecimento da sua conquista. É possível publicar os selos e incluir um link para eles no seu currículo on-line ou nas redes sociais. Inscreva-se em qualquer Quest que tenha este laboratório para receber os créditos de conclusão na mesma hora. Consulte todas as Quests disponíveis no catálogo do Google Cloud Ensina.

Próximas etapas / Saiba mais

Este laboratório também faz parte de uma série chamada Qwik Starts. Ela foi desenvolvida para apresentar os vários recursos disponíveis no Google Cloud. Pesquise "Qwik Starts" no catálogo de laboratórios para encontrar algum que seja do seu interesse.

Treinamento e certificação do Google Cloud

Esses treinamentos ajudam você a aproveitar as tecnologias do Google Cloud ao máximo. Nossas aulas incluem habilidades técnicas e práticas recomendadas para ajudar você a alcançar rapidamente o nível esperado e continuar sua jornada de aprendizado. Oferecemos treinamentos que vão do nível básico ao avançado, com opções de aulas virtuais, sob demanda e por meio de transmissões ao vivo para que você possa encaixá-las na correria do seu dia a dia. As certificações validam sua experiência e comprovam suas habilidades com as tecnologias do Google Cloud.

Manual atualizado em 29 de agosto de 2023

Laboratório testado no dia 29 de agosto de 2023

Copyright 2024 Google LLC. Todos os direitos reservados. Google e o logotipo do Google são marcas registradas da Google LLC. Todos os outros nomes de produtos e empresas podem ser marcas registradas das respectivas empresas a que estão associados.