REST Resource: projects.scanConfigs.scanRuns.findings

资源:Finding

Finding 资源表示在 ScanRun 期间识别的漏洞实例。

JSON 表示法 
{
  "name": string,
  "findingType": string,
  "severity": enum (Severity),
  "httpMethod": string,
  "fuzzedUrl": string,
  "body": string,
  "description": string,
  "reproductionUrl": string,
  "frameUrl": string,
  "finalUrl": string,
  "trackingId": string,
  "form": {
    object (Form)
  },
  "outdatedLibrary": {
    object (OutdatedLibrary)
  },
  "violatingResource": {
    object (ViolatingResource)
  },
  "vulnerableHeaders": {
    object (VulnerableHeaders)
  },
  "vulnerableParameters": {
    object (VulnerableParameters)
  },
  "xss": {
    object (Xss)
  },
  "xxe": {
    object (Xxe)
  }
}
字段
name

string

Finding 的资源名称。该名称采用“projects/{projectId}/scanConfigs/{scanConfigId}/scanruns/{scanRunId}/findings/{findingId}”格式。查找 ID 由系统生成。
findingType

string

发现结果的类型。如需详细了解最新的发现信息,请参阅:https://cloud.google.com/security-command-center/docs/how-to-remediate-web-security-scanner
severity

enum (Severity)

所报告漏洞的严重级别。
httpMethod

string

触发漏洞的 http 请求方法,以大写字母显示。
fuzzedUrl

string

此网址由服务器端模糊测试工具生成并且用在触发漏洞的请求中。
body

string

触发漏洞的请求正文。
description

string

漏洞的描述。
reproductionUrl

string

此网址包含人类可读的有效负载,用户可以利用有效负载重现漏洞。
frameUrl

string

如果漏洞源自嵌套 IFrame,则系统会报告直接父 IFrame。
finalUrl

string

检测到漏洞时浏览器着陆的网址。
trackingId

string

跟踪 ID 可在多次 ScanRun 期间唯一识别漏洞实例。
form

object (Form)

此插件包含有关漏洞的报告信息(如果有)以及 HTML 表单。
outdatedLibrary

object (OutdatedLibrary)

此插件包含有关过时库的信息。
violatingResource

object (ViolatingResource)

此插件包含有关导致漏洞的所有资源(例如 JavaScript 源代码、图片和音频文件等)的详细信息。
vulnerableHeaders

object (VulnerableHeaders)

此插件包含有关易受攻击的或缺失 HTTP 标头的信息。
vulnerableParameters

object (VulnerableParameters)

此插件包含有关易受攻击的请求参数的信息。
xss

object (Xss)

此插件包含针对 XSS 报告的信息(如果有)。
xxe

object (Xxe)

包含 XXE 报告信息的插件(如果有)。

严重程度

漏洞的严重级别。

枚举
SEVERITY_UNSPECIFIED 未指定严重程度。默认值。
CRITICAL 严重级别。
HIGH 严重程度高。
MEDIUM 中等严重级别。
LOW 严重程度较低。

表单

! 包含 HTML 的漏洞相关信息。

JSON 表示法 
{
  "actionUri": string,
  "fields": [
    string
  ]
}
字段
actionUri

string

! 提交表单时将其发送到的 URI。
fields[]

string

! 与漏洞相关的表单字段的名称。

OutdatedLibrary

针对过时库报告的信息。

JSON 表示法 
{
  "libraryName": string,
  "version": string,
  "learnMoreUrls": [
    string
  ]
}
字段
libraryName

string

过时库的名称。
version

string

版本号。
learnMoreUrls[]

string

用于详细了解该库中漏洞的网址。

ViolatingResource

有关导致漏洞的所有资源(例如 JavaScript 源代码、图片和音频文件等)的详细信息。

JSON 表示法 
{
  "contentType": string,
  "resourceUrl": string
}
字段
contentType

string

此资源的 MIME 类型。
resourceUrl

string

此违规资源的网址。

VulnerableHeaders

关于易受攻击或缺失 HTTP 标头的信息。

JSON 表示法 
{
  "headers": [
    {
      object (Header)
    }
  ],
  "missingHeaders": [
    {
      object (Header)
    }
  ]
}
字段
headers[]

object (Header)

易受攻击的标头的列表。
missingHeaders[]

object (Header)

缺少标头的列表。

VulnerableParameters

有关易受攻击的请求参数的信息。

JSON 表示法 
{
  "parameterNames": [
    string
  ]
}
字段
parameterNames[]

string

易受攻击的参数名称。

Xss

针对 XSS 报告的信息。

JSON 表示法 
{
  "stackTraces": [
    string
  ],
  "errorMessage": string
}
字段
stackTraces[]

string

导致 XSS 发生的堆栈轨迹。
errorMessage

string

由 JavaScript 故障生成的错误消息。

Xxe

针对 XXE 报告的信息。

JSON 表示法 
{
  "payloadValue": string,
  "payloadLocation": enum (Location)
}
字段
payloadValue

string

触发 XXE 漏洞的 XML 字符串。系统可能会隐去非载荷值。
payloadLocation

enum (Location)

载荷在请求中的放置位置。

位置

请求中替换 XML 的位置。

枚举
LOCATION_UNSPECIFIED 未知位置。
COMPLETE_REQUEST_BODY XML 载荷取代了完整的请求正文。

方法

get

 获取 Finding。

list

 列出给定 ScanRun 下的 Finding。