Acunetix Web漏洞掃描中文使用手冊Acunetix如何配置目標
配置目標
目標是您要使用Acunetix掃描的網站和Web應用程序。在Acunetix Online中,您還可以將網絡資產配置為目標。必須先在Acunetix中對其進行配置,然后才能對其進行掃描。配置完成后,可以根據需要多次掃描目標。
轉到“目標”頁面以配置要掃描的新網站:
- 從邊欄中的“目標”下拉列表中,選擇“添加目標”。
- 提供要掃描的資產的地址
- (可選)輸入簡短的描述,使您可以輕松識別此目標。
- 完成后,單擊“保存”按鈕。
- 您將被帶到目標的選項,可以在需要時配置其他選項。
目標群體
可以對目標進行分組以簡化管理。例如,從“漏洞”頁面中,您可以篩選一個目標組的漏洞,或者在“掃描”頁面中,可以篩選特定目標組的掃描,還可以授予用戶帳戶訪問特定目標組的權限。
首先,您需要創建目標組,然后,您可以為目標組配置目標組成員身份。
驗證掃描目標所有權(僅適用于Acunetix Online)
創建新的目標后,將要求您驗證目標的所有權。目標驗證將取決于您打算針對目標啟動的掃描類型。
總之,在掃描開始之前,Web漏洞掃描要求一個唯一的驗證文件在Web服務器的根目錄中展示。這是您要對其進行網絡掃描的所有目標所必需的操作。
網絡漏洞掃描要求我們驗證您的帳戶詳細信息,這是一次性過程。
網絡掃描驗證
Web掃描驗證是一個三步過程。
- 下載分配給新目標的唯一驗證文件。
- 將驗證文件上傳到站點的根目錄(例如,使用FTP)。
- 從Acunetix Online中目標的配置中,單擊“驗證掃描目標”以完成驗證過程。
注意:驗證文件必須保留在站點的根目錄中,因為Acunetix Online每次掃描服務器時都會檢查該驗證文件。
網絡掃描驗證
- 對于網絡掃描,您將需要驗證您的帳戶詳細信息正確無誤,并要求Acunetix代表對您的帳戶進行驗證。
- 打開“網絡掃描驗證”之后,在掃描目標的配置中,單擊“繼續驗證我的詳細信息”,或者您可以直接轉到“帳戶設置”>“配置文件”。
- 確認您的帳戶詳細信息正確無誤,然后根據需要進行更新。
屏幕截圖-驗證帳戶詳細信息 - 在“帳戶驗證”部分中,您可以請求驗證您的帳戶詳細信息。
- 您將立即收到一個自動撥打到指定電話號碼的電話,并且將獲得一次代碼。您需要在帳戶驗證過程中將此代碼輸入Acunetix。
- Acunetix代表可能會在24小時內與您聯系以完成驗證。
- 驗證帳戶詳細信息后,您可以對所有掃描目標啟動網絡漏洞掃描。
配置網站登錄
您可能需要掃描在Acunetix中配置為目標的Web應用程序中的受限區域。可以從目標配置的“常規設置”中的“站點登錄”選項中配置用于訪問限制區域的信息。
自動登錄
在大多數情況下,您可以選擇讓Acunetix嘗試自動登錄到站點。這將適用于大多數使用簡單登錄過程的Web應用程序。您需要提供用戶名和密碼才能訪問限制區域。掃描程序將自動檢測登錄鏈接,注銷鏈接以及用于使會話保持活動狀態的機制。
使用登錄序列記錄器
對于可能使用更復雜的登錄機制的Web應用程序,您將需要啟動Login Sequence Recorder并記錄一個登錄序列(*.lsr文件),然后可以將其上傳并保存為Target設置。
登錄序列用于在爬網和掃描階段執行以下任務:
- 訪問基于表單的密碼保護區
- 重播登錄操作以對網站或Web應用程序進行身份驗證
- 限制搜尋器和掃描器可以訪問的操作(例如注銷鏈接)
- 標記每次需要手動干預的操作,例如帶有驗證碼,一次性密碼和兩因素身份驗證的頁面。
可以按照以下步驟創建新的登錄序列。
- 從左側菜單導航到“目標”部分
- 選擇您要為其記錄登錄序列的目標
- 啟用“站點登錄”面板,然后選擇“使用預先記錄的登錄順序”
- 通過單擊“新建”鏈接來啟動LSR。
默認情況下,LSR將瀏覽到您要為其配置登錄序列的目標URL。
首先,您瀏覽到登錄頁面,然后執行成功的登錄。請記住正確使用和有效的憑據。記錄每個動作后,右側面板將開始填充登錄動作。由于LSR記錄的是動作而不是HTTP請求,因此它還可以與使用反CSRF令牌的Web應用程序一起使用。
登錄后,您可能希望重播這些操作,以確保登錄順序有效并成功登錄。這可以通過單擊屏幕左下方的“播放”來完成。
右側窗格顯示已記錄的操作的列表。單擊特定動作將在屏幕右下方顯示“動作屬性”。單擊下一步以記錄限制。
手動干預
某些登錄頁面在完成“登錄”過程之前需要執行其他步驟——例如:驗證碼,雙因素身份驗證(2FA)或多因素身份驗證(MFA)以及其他一次性密碼(OTP)機制。在記錄登錄順序時,您會遇到需要手動干預以執行無法自動化的步驟的情況。遇到這一點時,請選擇“手動”選項。
LSR將對此進行跟蹤;當您執行掃描時,Acunetix將暫停并提示您進行手動干預以及顯示彈出通知。
完成手動干預操作后,請選擇每個多余的操作,然后單擊“刪除”,以確保刪除LSR創建的屬于手動干預過程的任何操作。 點擊
(刪除)圖標。
然后,您可以簡單地繼續記錄剩余的登錄序列操作。
記錄限制
限制指示“爬蟲程序和掃描程序”在掃描過程中不需要遵循特定的鏈接。通常,您可能希望通過限制注銷鏈接或其他可能破壞有效會話的鏈接,以確保掃描程序不會在掃描期間注銷。除了標準的GET和POST請求外,LSR還支持對RESTful Web服務中常用的HTTP方法(例如PATCH,PUT,DELETE)的限制。
如果您要限制的鏈接包含隨機數或一次性令牌,則可以使用通配符(* )來限制值更改的鏈接。可以按照以下步驟設置限制。
- 單擊您希望限制的鏈接。
- 單擊鏈接后,將彈出一個對話框,詢問您是否希望想要Acunetix
- 攔截此請求(以其確切形式或使用通配符)
- 轉發與此請求匹配的請求
- 轉發所有請求,這意味著將沒有任何限制
- 在此示例中,我們不需要對限制進行任何修改,因此我們可以選擇第一個選項——使用完全匹配的限制請求
- 限制將被記錄,并顯示在右側面板中。您可以根據需要添加任意數量的限制。
識別有效的身份驗證會話
在最后一步,LSR將嘗試自動識別有效的會話。必須使用會話模式,這樣掃描程序才能知道無效(注銷)會話與有效(登錄)會話之間的區別。如果掃描程序能夠知道會話已經無效,則可以重播登錄序列并再次驗證會話。
通過比較Web應用程序的登錄和注銷狀態來完成此操作。在某些情況下,無法自動識別差異。在這種情況下,您將需要通過導航到頁面并讓LSR識別模式來配置它,或者也可以手動完成。除了依賴Cookie的身份驗證機制外,LSR還支持依賴HTML5 LocalStorage的身份驗證機制。
您可以在導航時標識有效的身份驗證會話:
- 這可以通過瀏覽網站的身份驗證區域來完成,該區域將根據登錄或注銷的用戶返回不同的響應。
- 例如,如果用戶登錄,則來自網站的響應將包含文本“注銷”。如果未在響應中找到該用戶,則該用戶未登錄。
或手動:
- 可以通過選擇正在發送的請求和返回的模式來手動配置會話驗證。
通過單擊右側面板頂部的“檢查模式”,可以驗證會話模式。
單擊完成后,將返回到“目標信息”頁面。單擊“保存”按鈕,將已保存的登錄序列文件上傳到“目標信息”頁面上。
OAuth登錄
Acunetix支持OAuth2身份驗證機制,允許您為需要OAuth2的Web應用程序配置目標。
支持的贈款類型為:
授權碼
隱含的
客戶憑證
密碼憑證
還支持需要三段式序列的OAuth2身份驗證流程,例如填寫用戶名和/或密碼字段,或者需要單擊“確認”或“允許”按鈕。
使用業務邏輯記錄器
當今,許多Web應用程序都利用動態擴展,多步驟或多頁面的形式。這意味著向用戶呈現“第一階段”表單,并且當用戶將信息插入此第一階段時,此信息將確定在下一步或頁面中如何更改表單。
我們經常在航空旅行網絡應用程序和高度互動的購物車中看到這些類型的表格,這只是兩個示例。現實情況是,這些多步驟表單正在變得越來越普遍,并且Business Logic Recorder提供了必要的工具來創建一系列操作,供掃描程序遵循以正確導航多部分表單。
生成并安裝AcuSensor
AcuSensor能夠識別您網站上的所有頁面,從而改善了Acunetix提供的掃描結果,增加了有關檢測到的漏洞的信息并減少了誤報。檢查相關部分,以獲取有關將AcuSensor部署到目標Web應用程序中的更多詳細信息。
重設AcuSensor密碼
如果出于某些原因您希望使AcuSensor代理的內置密碼無效,則需要編輯目標,展開“高級”部分,滾動到目標信息頁面的底部,然后單擊“重置AcuSensor密碼” “按鈕; 現在,用于目標的新AcuSensor代理將包含一個新的獨特的內置強密碼——這意味著您需要在開始新掃描之前將AcuSensor代理重新部署到目標Web應用程序。
其他高級選項
對于每個目標,您可以配置其他選項,包括:
- 搜尋選項,例如使用自定義User-Agent
- 掃描特定目標時要排除的路徑
- HTTP認證
- 客戶證書
- 自定義標題
- 自定義Cookie
- 允許的主機列表,在掃描特定目標時將被掃描。注意,這些需要事先預先配置為單獨的目標。
- 排除時間資料
推薦文章: