Table of Contents

上一个主题

防火墙

下一个主题

云推送

本页

应用体检

服务概述

新浪云应用体检通过对应用进行一些常规安全测试,以帮助开发者发现自己应用程序当中潜在的安全漏洞。安全测试是通过向应用发一起一定数量的特定请求来完成的,这些请求依据应用的访问日志生成。 目前所检测的项目包括:

  • 代码执行
  • 目录遍历
  • 文件包含
  • 敏感信息泄露
  • SQL注入
  • 跨站

警告

应用体检服务仅仅提供参考建议,以方便开发者发现潜在的安全问题。其检测结果并不等同于应用的实际安全性。

使用示例

进入应用后台,点击右侧列表”应用调优”分类下的“应用体检”项目,进入应用体检页面:

../../_images/logscan-start.png

选择版本后,点击“开始体检”即可对相应的版本发起一次体检,默认检查前一天应用访问日志的前一万条访问记录。 一次体检的结果会在一天左右的时间内出结果,页面下方会显示历史体检记录(只保留最近10次体检结果)。

../../_images/logscan-history.png

扫描结果可能为三种状态:

  • 如果前一天的日志为空,则显示“当天无日志”;
  • 如果检查全部连接未发现漏洞,则显示“未查出漏洞”;
  • 如果自动检测发现可疑漏洞,则会显示“查看明细”连接,点击可以查看详细检测报告。
../../_images/logscan-detail.png

在详细报告页面,可以看到漏洞存在的url以及出现漏洞的参数。 点击右上角可以查看漏洞修补建议。