GSP112

Informações gerais

O Web Security Scanner, um dos serviços integrados do Security Command Center, identifica vulnerabilidades de segurança nos aplicativos da Web que estão no Google App Engine, Google Kubernetes Engine (GKE) e Compute Engine. Ele segue todos os links no escopo dos URLs iniciais para rastrear seu aplicativo e tenta acessar o máximo possível de entradas do usuário e manipuladores de eventos.

O scanner é projetado para complementar os processos existentes de projeto e desenvolvimento seguros. Para que os desenvolvedores não sejam distraídos com falsos positivos, o scanner toma o devido cuidado na geração de relatórios e deixa de exibir alertas de baixa confiança. Ele não substitui uma análise de segurança manual e não garante que seu aplicativo esteja livre de falhas de segurança.

O que você vai aprender

Neste laboratório, você vai aprender a:

• Executar uma verificação com o Web Security Scanner

Configuração e requisitos

Antes de clicar no botão Começar o Laboratório

Leia estas instruções. Os laboratórios são cronometrados e não podem ser pausados. O timer é ativado quando você clica em Iniciar laboratório e mostra por quanto tempo os recursos do Google Cloud vão ficar disponíveis.

Este laboratório prático permite que você realize as atividades em um ambiente real de nuvem, e não em uma simulação ou demonstração. Você vai receber novas credenciais temporárias para fazer login e acessar o Google Cloud durante o laboratório.

Confira os requisitos para concluir o laboratório:

• Acesso a um navegador de Internet padrão (recomendamos o Chrome).

Observação: para executar este laboratório, use o modo de navegação anônima (recomendado) ou uma janela anônima do navegador. Isso evita conflitos entre sua conta pessoal e de estudante, o que poderia causar cobranças extras na sua conta pessoal.

• Tempo para concluir o laboratório: não se esqueça que, depois de começar, não será possível pausar o laboratório.

Observação: use apenas a conta de estudante neste laboratório. Se usar outra conta do Google Cloud, você poderá receber cobranças nela.

Como iniciar seu laboratório e fazer login no console do Google Cloud

1. Clique no botão Começar o laboratório. Se for preciso pagar por ele, uma caixa de diálogo vai aparecer para você selecionar a forma de pagamento. No painel Detalhes do Laboratório, à esquerda, você vai encontrar o seguinte:

   • O botão Abrir Console do Google Cloud
   • O tempo restante
   • As credenciais temporárias que você vai usar neste laboratório
   • Outras informações, se forem necessárias

2. Se você estiver usando o navegador Chrome, clique em Abrir console do Google Cloud ou clique com o botão direito do mouse e selecione Abrir link em uma janela anônima.

   O laboratório ativa os recursos e depois abre a página Fazer Login em outra guia.

   Dica: coloque as guias em janelas separadas lado a lado.

   Observação: se aparecer a caixa de diálogo Escolher uma conta, clique em Usar outra conta.

3. Se necessário, copie o Nome de usuário abaixo e cole na caixa de diálogo Fazer login.

   {{{user_0.username | "Username"}}}

   Você também encontra o nome de usuário no painel Detalhes do Laboratório.

4. Clique em Próxima.

5. Copie a Senha abaixo e cole na caixa de diálogo de Olá.

   {{{user_0.password | "Password"}}}

   Você também encontra a senha no painel Detalhes do Laboratório.

6. Clique em Próxima.

   Importante: você precisa usar as credenciais fornecidas no laboratório, e não as da sua conta do Google Cloud. Observação: se você usar sua própria conta do Google Cloud neste laboratório, é possível que receba cobranças adicionais.

7. Acesse as próximas páginas:

   • Aceite os Termos e Condições.
   • Não adicione opções de recuperação nem autenticação de dois fatores (porque essa é uma conta temporária).
   • Não se inscreva em testes gratuitos.

Depois de alguns instantes, o console do Google Cloud será aberto nesta guia.

Observação: para acessar os produtos e serviços do Google Cloud, clique no Menu de navegação ou digite o nome do serviço ou produto no campo Pesquisar.

Ativar o Cloud Shell

O Cloud Shell é uma máquina virtual com várias ferramentas de desenvolvimento. Ele tem um diretório principal permanente de 5 GB e é executado no Google Cloud. O Cloud Shell oferece acesso de linha de comando aos recursos do Google Cloud.

1. Clique em Ativar o Cloud Shell na parte de cima do console do Google Cloud.

2. Clique nas seguintes janelas:

   • Continue na janela de informações do Cloud Shell.
   • Autorize o Cloud Shell a usar suas credenciais para fazer chamadas de APIs do Google Cloud.

Depois de se conectar, você verá que sua conta já está autenticada e que o projeto está configurado com seu Project_ID, . A saída contém uma linha que declara o projeto PROJECT_ID para esta sessão:

Your Cloud Platform project in this session is set to {{{project_0.project_id | "PROJECT_ID"}}}

A gcloud é a ferramenta de linha de comando do Google Cloud. Ela vem pré-instalada no Cloud Shell e aceita preenchimento com tabulação.

3. (Opcional) É possível listar o nome da conta ativa usando este comando:

gcloud auth list

4. Clique em Autorizar.

Saída:

ACTIVE: * ACCOUNT: {{{user_0.username | "ACCOUNT"}}} To set the active account, run: $ gcloud config set account `ACCOUNT`

5. (Opcional) É possível listar o ID do projeto usando este comando:

gcloud config list project

Saída:

[core] project = {{{project_0.project_id | "PROJECT_ID"}}} Observação: consulte a documentação completa da gcloud no Google Cloud no guia de visão geral da gcloud CLI.

Tarefa 1: antes de começar, você vai precisar de um aplicativo para fazer a verificação

Neste laboratório, você vai implantar um aplicativo de amostra Hello World para usar o Security Scanner.

1. Execute o comando abaixo no Cloud Shell para clonar o repositório do app de amostra Hello World:

gsutil -m cp -r gs://spls/gsp067/python-docs-samples .

2. Acesse o diretório que contém o exemplo de código:

cd python-docs-samples/appengine/standard_python3/hello_world

3. Mude a versão do Python com o comando sed.

sed -i "s/python37/python39/g" app.yaml

4. Execute o comando abaixo e adicione itsdangerous==2.0.1, Jinja2==3.0.3 e werkzeug==2.0.1 ao arquivo requirements.txt:

nano requirements.txt

O arquivo vai ficar assim:

Flask==1.1.2 itsdangerous==2.0.1 Jinja2==3.0.3 werkzeug==2.0.1

5. Salve o arquivo (pressione CTRL+O, depois pressione Enter) e saia do nano (pressione CTRL+X).

Observação: o pacote itsdangerous==2.0.1 será adicionado ao arquivo requirements.txt para transmitir dados a ambientes não confiáveis e recebê-los de volta com segurança.

Tarefa 2: testar o aplicativo

1. Instalar o ambiente de pré-requisitos do Python.

sudo apt update sudo apt install python3-venv -y python3 -m venv create myvenv source myvenv/bin/activate

2. No diretório hello_world, onde está o arquivo de configuração app.yaml do app, inicie o servidor de desenvolvimento local executando o seguinte comando:

flask --app main run

3. Clique no ícone de visualização da Web na barra de ferramentas do Cloud Shell.

4. Clique em Alterar porta.

5. Mude o Número da porta para 5000 e clique em Alterar e visualizar.

Observação: se o ícone de visualização da Web não estiver disponível, feche o menu de navegação no canto superior esquerdo.

6. Pressione CTRL+C para interromper o app local e voltar à linha de comando.

Tarefa 3: implante o aplicativo

Neste laboratório, use como região do App Engine.

1. Para implantar o aplicativo no App Engine, execute o seguinte comando no diretório raiz do aplicativo (hello_world):

gcloud app create gcloud app deploy

2. Você precisará escolher uma região. Selecione o número da que está mais perto de você.

3. Após a criação do app no seu laboratório, você verá uma opção para continuar. Clique em Y para continuar.

A implantação do app vai começar em seguida.

Observação: se você receber um erro de expiração, execute o comando novamente.

Tarefa 4: confira o app

• Para iniciar o app no navegador, execute o seguinte comando:

gcloud app browse

Você pode usar um link que está no Cloud Shell ou acessar o app em http://[YOUR_PROJECT_ID].uc.r.appspot.com. Esse é o URL que será verificado em busca de vulnerabilidades. Ele será adicionado aos parâmetros de verificação na próxima etapa.

Teste a tarefa concluída

Clique em Verificar meu progresso para conferir a tarefa realizada. Se você concluiu a tarefa, vai receber uma pontuação de avaliação.

Implante o aplicativo de amostra no App Engine.

Tarefa 5: execute a verificação

A verificação não é executada imediatamente. Ela fica na fila e é executada mais tarde. Isso pode levar algumas horas, dependendo da carga atual. Saiba mais sobre essas configurações de formulário em Como usar o Web Security Scanner.

1. Acesse Menu de navegação > APIs e serviços > Biblioteca.

2. Em "Procurar APIs e serviços", digite Web Security Scanner.

3. Selecione a API Web Security Scanner e clique em Ativar para ativar a API.

4. No Menu de navegação, selecione Segurança > Web Security Scanner.

5. Clique em Nova verificação.

6. Em Starting URL 1, insira o URL do aplicativo que você quer verificar.

7. Clique em Salvar para criar a verificação.

8. Clique em Executar para iniciar a verificação:

A verificação será colocada na fila, e você poderá acompanhar o andamento da barra de status durante o procedimento. A página de informações gerais da verificação vai mostrar uma seção de resultados quando ela for concluída. A imagem a seguir mostra um exemplo dos resultados de uma verificação quando nenhuma vulnerabilidade é detectada:

Observação: pode levar de 4 a 5 minutos para a verificação ser concluída. Observação: se nenhuma atualização aparecer, tente recarregar a página.

Bom trabalho! Você acabou de concluir uma verificação com o Web Security Scanner. Será exibido um aviso indicando que a verificação de apenas um URL não é ideal. O objetivo deste laboratório é apenas demonstrar um exemplo simples. Seu ambiente de produção terá muitos URLs a serem verificados.

Tarefa 6: teste seu conhecimento

Responda às perguntas de múltipla escolha a seguir para reforçar os conceitos abordados neste laboratório. Use tudo o que aprendeu até aqui.

Parabéns!

Neste laboratório, você aprendeu a executar uma verificação usando o Web Security Scanner.

Próximas etapas / Saiba mais

Este laboratório também faz parte de uma série chamada Qwik Starts. Ela foi desenvolvida para apresentar os vários recursos disponíveis no Google Cloud. Pesquise "Qwik Starts" no catálogo de laboratórios para encontrar algum que seja do seu interesse.

Treinamento e certificação do Google Cloud

Esses treinamentos ajudam você a aproveitar as tecnologias do Google Cloud ao máximo. Nossas aulas incluem habilidades técnicas e práticas recomendadas para ajudar você a alcançar rapidamente o nível esperado e continuar sua jornada de aprendizado. Oferecemos treinamentos que vão do nível básico ao avançado, com opções de aulas virtuais, sob demanda e por meio de transmissões ao vivo para que você possa encaixá-las na correria do seu dia a dia. As certificações validam sua experiência e comprovam suas habilidades com as tecnologias do Google Cloud.

Manual atualizado em 30 de maio de 2025

Laboratório testado em 30 de maio de 2025

Copyright 2025 Google LLC. Todos os direitos reservados. Google e o logotipo do Google são marcas registradas da Google LLC. Todos os outros nomes de produtos e empresas podem ser marcas registradas das respectivas empresas a que estão associados.