重要提醒：

請務必使用桌機/筆電完成這個實作實驗室。

每個實驗室都只有 5 次嘗試機會。

提醒：第一次嘗試時，不一定能全部答對，甚至可能需要重做，這是正常的過程。

實驗室活動開始後，計時器無法暫停。實驗室會在 1 小時 30 分鐘後結束，如果您沒做完，就必須重新開始。

您可查看實驗室技術提示瞭解詳情。

活動總覽

找出安全漏洞並實作修復技巧，是確保各種系統和應用程式安全與穩定的關鍵。許多應用程式和系統會處理敏感資訊，例如個人識別資訊、財務記錄或智慧財產。找出安全漏洞有助於保護這類敏感資料，防範未經授權的存取與潛在侵害風險。在開發階段及早解決安全漏洞，通常比在資安事件發生後才處理更具成本效益。修復安全漏洞的成本通常遠高於預防成本。

資安分析師可藉由定期掃描安全漏洞，在惡意攻擊發生前找出並修補弱點，主動化解潛在威脅。這也有助於深入瞭解應用程式的攻擊面，掌握可能的漏洞攻擊途徑，優先強化關鍵風險區域。

在本實驗室中，您不僅會學到如何設定及執行存在安全漏洞的應用程式，還會掃描應用程式，找出安全漏洞。

情境

Cymbal Bank 為企業客戶開發了新的銀行應用程式，預計在新的雲端基礎架構上代管及部署。資訊安全長 Javier 希望在這款應用程式上線前做好安全把關，為客戶提供安心無虞的使用體驗。您的主管 Chloe 要求您找出並修補這款應用程式的安全漏洞。您將使用 Google Cloud 的 Web Security Scanner，掃描應用程式是否存在 OWASP® 所列的其中一項常見網頁應用程式安全漏洞：跨網站指令碼攻擊 (簡稱 XSS)。

這項工作將分為以下步驟：首先，您會建立靜態 IP 位址，並啟動虛擬機器。接著，您要部署存在安全漏洞的應用程式，然後設定並執行應用程式。接下來您會存取並掃描應用程式，最後修正安全漏洞，並重新掃描應用程式。

設定

點選「Start Lab」之前

請詳閱下列操作說明。實驗室活動會計時，中途無法暫停。點選「Start Lab」後就會開始計時，顯示可使用 Google Cloud 資源的時間。

您會在實際雲端環境完成實驗室活動，而非模擬或示範環境。因此，我們會提供新的臨時憑證，讓您在實驗室活動期間登入及存取 Google Cloud。

如要順利完成這個實驗室活動，請先確認：

• 可以使用標準的網路瀏覽器 (Chrome 瀏覽器為佳)。

注意：請使用無痕模式或私密瀏覽視窗執行此實驗室，防止個人帳戶和學生帳戶之間的衝突，避免個人帳戶產生額外費用。

• 該來完成實驗室活動了！別忘了，活動開始後就無法暫停。

注意：如有個人 Google Cloud 帳戶或專案，請勿用於本實驗室，以免產生額外費用。

如何啟動實驗室環境及登入 Google Cloud 控制台

1. 點選「Start Lab」按鈕。左側的「Lab Details」面板會顯示下列項目：

   • 剩餘時間
   • 「Open Google Cloud console」按鈕
   • 這個實驗室中應使用的暫時憑證
   • 完成這個實驗室所需的其他資訊 (如有)
   注意：如果實驗室會產生費用，畫面中會出現選擇付款方式的彈出式視窗。

2. 點選「Open Google Cloud console」；如果使用 Chrome 瀏覽器，也可以按一下滑鼠右鍵，選取「在無痕視窗中開啟連結」。「登入」頁面會在新的瀏覽器分頁開啟。

   提示：為方便切換，可以將分頁安排在不同的視窗並排顯示。

   注意：如果顯示「選擇帳戶」對話方塊，請點選「使用其他帳戶」。

3. 如有需要，請複製下方的 Google Cloud 使用者名稱，然後貼到「登入」對話方塊。點選「下一步」。

{{{user_0.username | "Google Cloud username"}}}

您也可以在「Lab Details」面板找到 Google Cloud 使用者名稱。

4. 複製下方的 Google Cloud 密碼，並貼到「歡迎使用」對話方塊。點選「下一步」。

{{{user_0.password | "Google Cloud password"}}}

您也可以在「Lab Details」面板找到 Google Cloud 密碼。

重要事項：請務必使用實驗室提供的憑證，而非自己的 Google Cloud 帳戶憑證。 注意：在這個實驗室中使用自己的 Google Cloud 帳戶，可能會產生額外費用。

5. 繼續點選後續頁面：
   • 接受條款及細則。
   • 由於這是臨時帳戶，請勿新增救援選項或雙重驗證機制。
   • 請勿申請免費試用。

Cloud 控制台稍後會在這個分頁中開啟。

注意事項：點選畫面左上方的導覽選單，即可查看 Google Cloud 產品與服務清單。

工作 1：啟動虛擬機器

在這項工作中，您將建立靜態 IP 位址，並啟動虛擬機器來執行存在安全漏洞的應用程式。

1. 在 Google Cloud 控制台標題列，按一下「啟用 Cloud Shell」圖示 。如果出現提示訊息，請點選「繼續」。
2. 將下列指令複製到 Cloud Shell 終端機：

gcloud compute addresses create xss-test-ip-address --region={{{project_0.default_region | "REGION"}}}

這個指令會在 區域建立名為 xss-test-ip-address 的靜態 IP 位址。這組靜態 IP 位址將用於掃描受測的網頁應用程式。

3. 按下 Enter 鍵。

如果出現提示訊息，請點選「授權」。

4. 將下列指令複製到 Cloud Shell 終端機：

gcloud compute addresses describe xss-test-ip-address \ --region={{{project_0.default_region | "REGION"}}} --format="value(address)"

這個指令會傳回您產生的靜態 IP 位址。

5. 按下 Enter 鍵。
6. 從輸出內容複製 IP 位址並存至記事本，以備後續使用。
7. 將下列指令複製到 Cloud Shell 終端機：

gcloud compute instances create xss-test-vm-instance --address=xss-test-ip-address --no-service-account \ --no-scopes --machine-type=e2-micro --zone={{{project_0.default_zone | "ZONE"}}} \ --metadata=startup-script='apt-get update; apt-get install -y python3-flask'

這個指令會建立 VM 執行個體，執行存在安全漏洞的應用程式。

8. 按下 Enter 鍵。

注意：開機指令碼會安裝 python-flask 網頁應用程式框架，以供執行一款簡單的 Python 應用程式。該應用程式專用於展示跨網站指令碼 (XSS)，這是一種常見的網頁應用程式安全漏洞。

點選「Check my progress」，確認工作已正確完成。

啟動虛擬機器

工作 2：設定並執行存在安全漏洞的應用程式

在這項工作中，您要下載並解壓縮存在安全漏洞的網頁應用程式檔案，然後透過瀏覽器建立 SSH 連線並進行部署。

首先，您要建立防火牆規則，允許 Web Security Scanner 存取存在安全漏洞的應用程式。

1. 將下列指令複製到 Cloud Shell 終端機：

gcloud compute firewall-rules create enable-wss-scan \ --direction=INGRESS --priority=1000 \ --network=default --action=ALLOW \ --rules=tcp:8080 --source-ranges=0.0.0.0/0

這個指令會建立防火牆規則，允許任何來源 IP 位址存取該網頁應用程式。這樣 Web Security Scanner 就能存取存在安全漏洞的應用程式並執行掃描。

2. 按下 Enter 鍵。

接著，透過 SSH 連線至 VM 執行個體。

3. 前往 Google Cloud 控制台，點選「導覽選單」圖示 。
4. 依序選取「Compute Engine」>「VM 執行個體」。
5. 在「VM 執行個體」頁面的「連線」欄中，點選測試執行個體旁的「SSH」按鈕。

瀏覽器將在新視窗中開啟 VM 執行個體的 SSH 連線。

6. 如果出現彈出式視窗，詢問是否允許透過瀏覽器使用 SSH 連線至 VM，請點選「授權」。

接著，解壓縮網頁應用程式檔案。

7. 將下列指令複製到「直接透過瀏覽器進行 SSH 連線」頁面 (而非 Cloud Shell)：

gsutil cp gs://cloud-training/GCPSEC-ScannerAppEngine/flask_code.tar . && tar xvf flask_code.tar

這個指令會下載並解壓縮存在安全漏洞的網路應用程式檔案。

8. 按下 Enter 鍵。

9. 最後，將下列指令複製到「直接透過瀏覽器進行 SSH 連線」頁面：

python3 app.py

這個指令會啟動應用程式。

10. 按下 Enter 鍵。

系統會顯示訊息，表示應用程式已啟動並執行中。

注意：這款網頁應用程式是供開發使用，設定檔可能存在安全漏洞。在公開網路使用任何應用程式前，務必先進行測試。 注意：執行下一個工作時，請勿關閉「直接透過瀏覽器進行 SSH 連線」頁面，因為應用程式必須保持執行狀態。

點選「Check my progress」，確認工作已正確完成。

設定並執行存在安全漏洞的應用程式

工作 3：存取存在安全漏洞的應用程式

在這項工作中，您將測試應用程式是否存在跨網站指令碼攻擊 (XSS) 的安全漏洞。惡意指令碼 (例如 HTML 程式碼) 可以利用 XSS 安全漏洞嵌入內容中，進而傳送至網路瀏覽器。

1. 在應用程式執行時，開啟新的瀏覽器視窗。
2. 將下列網址複製到瀏覽器分頁，並將 <YOUR_EXTERNAL_IP> 替換成您在工作 1 存入記事本的 VM 靜態 IP 位址：

http://<YOUR_EXTERNAL_IP>:8080

畫面應會顯示 Cymbal Bank 的企業銀行入口網站，以及一份網頁表單。

注意：若彈出式視窗顯示外部 IP 不支援安全連線，請點選「繼續造訪網站」。

3. 複製下列 HTML 程式碼 (包括指令碼標記)，並貼到網頁表單：

<script>alert('This is an XSS Injection to demonstrate one of OWASP vulnerabilities')</script>

這段程式碼會植入 OWASP® 安全漏洞。

4. 按一下「POST」。

插入的程式碼會在瀏覽器中顯示一則訊息。這個動作本身不具惡意，但攻擊者可將惡意程式碼植入存在漏洞的應用程式，藉此竊取資料或在使用者裝置上安裝惡意軟體。

警告視窗隨即開啟，並顯示以下訊息：「This is an XSS Injection to demonstrate one of OWASP vulnerabilities」。

工作 4：掃描應用程式

在這項工作中，您將使用 Web Security Scanner 掃描應用程式，找出安全漏洞。

首先，啟用 Web Security Scanner API。

1. 在 Google Cloud 控制台，點選「導覽選單」圖示 。
2. 依序選取「API 和服務」>「已啟用的 API 和服務」，即可進入「API 和服務」頁面。
3. 點選「+ 啟用 API 和服務」。
4. 在搜尋欄位輸入 Web Security Scanner，然後按下 Enter 鍵。
5. 選取「Web Security Scanner API」。
6. 如果尚未啟用該 API，請點選「啟用」。

接著掃描應用程式，找出安全漏洞。

7. 在 Google Cloud 控制台中，點選「導覽選單」圖示 。
8. 依序選取「安全性」>「Web Security Scanner」。

若 Web Security Scanner API 已啟用，Cloud Web Security Scanner 頁面會顯示「掃描設定」詳細資料。

9. 在「Cloud Web Security Scanner」工具列，點選「+ 新增掃描作業」。

10. 在「名稱」部分，輸入「掃描跨網站指令碼」。

在「起始網址」部分，「起始網址 1」的欄位應已預先填入靜態 IP 位址。

11. 在 IP 位址結尾加上冒號和通訊埠號碼 8080。起始網址 1 會類似下列示例：

http://<YOUR_EXTERNAL_IP>:8080

12. 刪除起始網址 2 (如有)。
13. 在「排除的網址」部分，確認「驗證」欄位設為「無」，「時間表」欄位設為「永不」。其他欄位則維持不變。
14. 點選「儲存」即可建立掃描作業。
15. 點選「執行掃描作業」，開始掃描。
16. 返回「直接透過瀏覽器進行 SSH 連線」視窗。

在「直接透過瀏覽器進行 SSH 連線」視窗，您應該會看到 Web Security Scanner 測試所有可能的網址，以找出潛在的安全漏洞，並產生記錄。

17. 掃描完成後，返回 Google Cloud 控制台。

注意：掃描作業可能需要 5 到 10 分鐘才能完成。

在「結果」分頁中，應會顯示跨網站指令碼安全漏洞，證明 Web Security Scanner 能夠偵測 XSS 安全漏洞。

您也可以在 Security Command Center 的「安全漏洞」分頁，找到這些安全漏洞。

點選「Check my progress」，確認工作已正確完成。

掃描應用程式

工作 5：修復安全漏洞

在這項工作中，您將修復應用程式的 XSS 安全漏洞，並使用新的修正檔重新執行應用程式。

如要修正目前的安全漏洞，建議驗證及排除不受信任使用者提供的資料，並參閱對應的 OWASP^® 規則。

您需要修改這款有漏洞的應用程式，在程式碼中加入用於驗證與轉義使用者輸入資料的指令。

1. 返回連線至 VM 執行個體的「直接透過瀏覽器進行 SSH 連線」頁面。
2. 按下 CTRL + C 鍵，停止執行中的應用程式。或者，您也可以點選視窗右上角的「傳送按鍵組合」圖示，輸入 Ctrl + C 組合鍵。

接著，使用 nano 編輯器編輯 app.py 檔案。

3. 將下列指令複製到「直接透過瀏覽器進行 SSH 連線」頁面：

nano app.py

這個指令會開啟 nano 程式碼編輯器。

4. 按下 Enter 鍵。

5. 為了修正 XSS 安全漏洞，您要驗證輸出字串變數。輸出字串是處理使用者提供的網頁表單輸入內容後，所產生的結果。

您要確保應用程式不會將使用者輸入內容視為 HTML 程式碼，而是會針對使用者輸入內容中的特殊字元，進行跳脫處理。找出設定輸出字串的兩行程式碼，來完成此步驟：

# output_string = "".join([html_escape_table.get(c, c) for c in input_string]) output_string = input_string

6. 移除第一行的 # 符號，並加到下一行的開頭 (務必正確縮排程式碼)。最後幾行必須類似下列示例：

@app.route('/output') def output(): output_string = "".join([html_escape_table.get(c, c) for c in input_string]) # output_string = input_string return flask.render_template("output.html", output=output_string)

7. 按下 Ctrl + X 退出 nano 編輯器，接著按 Y 鍵儲存變更，最後按 Enter 鍵完成存檔。
8. 將下列指令複製到「直接透過瀏覽器進行 SSH 連線」終端機：

python3 app.py

這個指令會重新執行應用程式。

9. 按下 Enter 鍵。

點選「Check my progress」，確認工作已正確完成。

修復安全漏洞

工作 6：重新掃描網頁應用程式

在這項工作中，您將重新掃描應用程式，確認沒有安全漏洞。

1. 返回 Google Cloud 控制台的「Cloud Web Security Scanner」頁面。
2. 點選「執行」，重新執行掃描。

注意：掃描作業可能需要 5 到 10 分鐘才能完成。

現在「結果」分頁應顯示未發現任何安全漏洞。

點選「Check my progress」，確認工作已正確完成。請務必等到掃描完成，才能獲得完成這項工作的學分。

重新掃描網頁應用程式

總結

做得好！

透過本實驗室，您獲得了掃描應用程式安全漏洞的實務經驗。您也瞭解到，資安分析師必須具備掃描應用程式漏洞的能力，才能有效識別並處理潛在弱點、管理風險並滿足法規遵循要求，進而維持穩健的資安態勢，保護組織的資產和聲譽。

透過修補安全缺口與補強弱點，您可以預防潛在漏洞攻擊、將資安事件的影響降至最低，並確保符合業界規範。

您在本實驗室完成的操作，是主動資安防禦策略中非常重要的一環。

關閉實驗室

結束實驗室前，請確認已完成所有工作。如果已確定完成，請依序點選「End Lab」和「Submit」。

關閉實驗室後，就無法進入實驗室環境，也無法再次存取在實驗室完成的工作。

Copyright 2026 Google LLC 保留所有權利。Google 和 Google 標誌是 Google LLC 的商標，其他公司和產品名稱則有可能是其關聯公司的商標。