4.5 KiB
4.5 KiB
Kali Scan Scope Approval Package
| 項目 | 內容 |
|---|---|
| 日期 | 2026-05-13 |
| 狀態 | 草案,等待人工批准 |
| Schema | docs/schemas/kali_scan_scope_approval_v1.schema.json |
| Snapshot | docs/security/kali-scan-scope-approval.snapshot.json |
| Approval queue | docs/security/SECURITY-APPROVAL-QUEUE.md |
| 來源 | host:kali-112 / 192.168.0.112 |
| 原則 | 低摩擦、先 observe、掃描深度分級、所有高風險執行都 blocked until approved |
0. 核心結論
本 package 的目的不是立刻開始掃描,而是先把掃描範圍、掃描深度、資產 owner 與 approval gate 定清楚。
目前可直接進行的仍只有文件、health、service、tool version、已脫敏 evidence mirror。任何 active DAST、credentialed scan、/execute、firewall / NetworkPolicy / RBAC 調整、Kali full-upgrade / reboot 都必須另外批准。
1. 掃描深度分級
| 等級 | 用途 | 初期狀態 |
|---|---|---|
health_only |
/health、service status、tool version |
可 observe |
passive |
資產地圖、owner、已存在 logs / metadata | 可 observe |
safe_active |
TLS/header/basic crawl 類低噪音檢查 | 需要 scope approval |
active_dast |
fuzz、auth flow、狀態改變風險較高的 DAST | 需要明確批准與窗口 |
credentialed |
使用 SSH/API/token 等憑證 | 高風險,必須批准且不得保存 secret value |
execute |
Kali /execute 或 shell command 類 |
預設 block candidate |
maintenance |
full-upgrade、autoremove、reboot | 需要維護窗口、rollback、post-check |
2. 本輪納入的資產
| Scope group | 資產 | 初期模式 |
|---|---|---|
| Kali health | 192.168.0.112 |
health-only / passive |
| Dev hosts | 192.168.0.111、192.168.0.168 |
observe-only |
| Core runtime hosts | 192.168.0.110、192.168.0.120、192.168.0.121、192.168.0.188 |
health-only / passive |
| Public web perimeter | public_product_domains_from_service_endpoints |
等待 safe crawl approval |
| Kali high-risk paths | kali-scanner:/execute、Kali full-upgrade / reboot |
block candidate / approval required |
這份清單是 approval package,不代表已經執行任何掃描。
3. Approval gates
| Gate | Risk | 說明 |
|---|---|---|
kali-safe-web-crawl-approval-20260513 |
MEDIUM | 公開網站 TLS/header/basic crawl 批准 |
kali-credentialed-scan-approval-20260513 |
HIGH | SSH/API/token 類 credentialed scan 批准 |
kali-execute-endpoint-approval-20260513 |
CRITICAL | Kali /execute 高風險命令路徑,預設不應接入 AwoooP runtime |
kali-finding-runtime-ingestion-approval-20260513 |
MEDIUM | 把 redacted findings 接入 AWOOOI / AwoooP runtime 前的批准 |
kali-full-upgrade-reboot-approval-20260513 |
HIGH | Kali rolling full-upgrade / autoremove / reboot 維護窗口批准 |
4. Finding ingestion 邊界
批准前只能:
- 產生
security_finding_v1sample。 - 驗證 schema。
- mirror 已脫敏 finding summary。
- 顯示 approval gate 與 blocking reason。
批准前不能:
- 新增 AWOOOI runtime ingestion endpoint。
- 改 DB migration 或 model。
- 讓 AwoooP 直接觸發 scan。
- 讓 AwoooP 直接呼叫 Kali
/execute。 - 保存 API key、password、token、cookie、private key 或 exploit payload。
5. AwoooP 消費方式
AwoooP 可把 kali_scan_scope_approval_v1 當成 approval queue 與 Operator Console 的唯讀資料:
- 顯示 scope group。
- 顯示每個資產的 scan level。
- 顯示 approval gate。
- 建立 approval candidate。
- 保持所有高風險 action button 隱藏或 disabled。
除非 approval event 被人工批准,AwoooP 只能 mirror,不得執行。
6. Queue 對應
本 package 的 gate 已同步到 security_approval_queue_v1:
| Gate | Queue state | 建議 |
|---|---|---|
kali-finding-runtime-ingestion-approval-20260513 |
pending_approval |
建議第一優先 review,因為只接 redacted finding,不改 runtime control |
kali-safe-web-crawl-approval-20260513 |
pending_approval |
建議第二優先 review,只允許 TLS/header/basic crawl |
kali-credentialed-scan-approval-20260513 |
pending_approval |
高風險,需 credential source、scope、audit trail |
kali-full-upgrade-reboot-approval-20260513 |
pending_approval |
需維護窗口、snapshot、rollback、post-health gate |
kali-execute-endpoint-approval-20260513 |
block_candidate |
預設不應接入 AwoooP runtime |