איך לפתור חלק מהשגיאות שמוצגות ב-Security Command Center בנושא הזה נסביר על שגיאות שפתרון שלהן דורש יותר שלבים מכפי שאפשר לתאר בקלות בהודעת שגיאה.
התראות
יכול להיות שתקבלו את השגיאות הבאות כשמשתמשים בתכונת ההתראות של Security Command Center API.
שגיאה בקריאת קובץ פרטי הכניסה ממשתנה סביבה
java.lang.RuntimeException: java.io.IOException: Error reading credential file
from environment variable GOOGLE_APPLICATION_CREDENTIALS
השגיאה הזו מתרחשת כשמנסים להשתמש ב-Security Command Center notifications API ואין גישה למפתחות של חשבון השירות. כדי לפתור את השגיאה הזו:
- מבצעים את השלבים להגדרת חשבון שירות ולקבלת המפתח של חשבון השירות.
- אם אתם משתמשים בסביבת פיתוח משולבת (IDE) כמו Intellij, ודאו שסביבת הפיתוח מוגדרת כך שתצביע על המיקום שבו מאוחסן המפתח של חשבון השירות.
בחירה לא חוקית: add-iam-policy-binding
ERROR: (gcloud.pubsub.topics) Invalid choice: 'add-iam-policy-binding'
השגיאה הזו מופיעה לרוב כשלא משתמשים בגרסה העדכנית ביותר של Google Cloud CLI. כדי לפתור את השגיאה, צריך לעדכן לגרסה האחרונה של ה-CLI של gcloud באמצעות הפקודה:
gcloud components update
Web Security Scanner
כדי ליצור איתנו קשר לגבי הודעות השגיאה שמופיעות בהמשך, שולחים משוב לגבי הסריקה הספציפית.
| הודעת השגיאה | תיאור |
|---|---|
| האפליקציה הפנתה את הסורק לעיתים קרובות לדף אימות | אם אתם משתמשים באימות של Google, הסורק מזהה הפניות אוטומטיות לאימות. הסיבה הסבירה ביותר היא שפרטי הכניסה שבהם אתם משתמשים לסריקת האתר לא תקינים. כדי לבדוק את התוקף של פרטי הכניסה, מתחילים סשן פרטי ב-Chrome ומנסים להיכנס לאפליקציה עם פרטי הכניסה לבדיקה. |
| האפליקציה הפיקה מספר גבוה של שגיאות במהלך הסריקה הזו |
כלי Web Security Scanner מצא שאחוז גבוה מהבקשות הוביל לתגובות HTTP מסוג 4xx או 5xx. צריך לאמת את פרטי הכניסה לסריקה ואת כתובת ה-URL של היעד. אם הבעיה נמשכת, אפשר לדווח על באג.
|
| הסריקה מצאה מספר קטן של תוצאות במהלך הסריקה | Web Security Scanner לא מצא הרבה דפים לבדיקה. השגיאה הזו צפויה באתרים שבהם כתובת ה-URL לא משתנה לעיתים קרובות, ובאתרים שכוללים תכונות של אפליקציות מאחורי סרגלי ניווט מרובי שלבים. כדאי לנסות להוסיף עוד כתובות URL ראשוניות, כמו כתובת ה-URL של כל תכונה שאליה מוביל סרגל הניווט. |
| הסריקה מצאה יותר מדי כתובות URL במהלך סריקת התוצאות, ולא נבדקו כל הכתובות. | הבעיה הזו יכולה להופיע אם באפליקציה יש הרבה כתובות URL שמובילות לאותה תבנית. במקרה כזה, אפשר להגיש בקשה להוספת תכונה, והצוות יוכל לשנות את הלוגיקה של הדפים הכפולים בשבילכם. |
| אירעה שגיאה פנימית במהלך הסריקה. | ההודעה הזו יכולה להצביע על שגיאה פנימית אחת או יותר. אם ההודעה הזו מופיעה, שולחים משוב על הסריקה הספציפית. |
| הסריקה נעצרה כי הגיעה לזמן הקצוב לתפוגה במהלך סריקת האפליקציה |
יש מגבלת זמן לכל שלב בסורק.
|
| הסריקה הפעילה מנגנון הגנה מפני התקפות DDoS והיא הופסקה | השגיאה הזו נגרמת כתוצאה מביצוע מהיר מדי של יותר מדי שאילתות. כדאי לנסות להקטין את הערך של Queries Per Second (QPS). |
פתרון בעיות
אם הכלי Web Security Scanner מדווח על בעיה, צריך להשבית את ההגנה מפני פרצת אבטחה XSS (cross-site scripting) בדפדפן ולאחר מכן לאמת את המיקום. מידע נוסף מופיע במאמר בנושא אימות הבעיה.
המאמרים הבאים
מידע נוסף על שגיאות ב-Security Command Center