在Acunetix WVS中設置登錄順序

Acunetix登錄序列記錄器可用于自動測試網站的密碼保護區域。

為了掃描基于表單的密碼保護區域，您將需要在掃描過程中使用登錄順序。可以使用登錄序列記錄器（LSR）在“常規”選項卡的“目標設置”頁面中配置登錄序列。登錄序列用于在爬網和掃描階段執行以下任務。

• 訪問基于表單的密碼保護區
• 重播登錄操作以對網站或Web應用程序進行身份驗證
• 限制搜尋器和掃描器可以訪問的操作（例如注銷鏈接）
• 標記每次訪問都需要手動干預的操作，例如帶有驗證碼，一次性密碼和兩因素身份驗證的頁面。

可以按照以下步驟創建新的登錄序列。

• 從左側菜單導航到“目標”部分
• 選擇您要為其記錄登錄序列的目標
• 在“常規設置”選項卡中，啟用“網站登錄”窗格，然后選擇“使用預先記錄的登錄順序”
• 通過單擊“ 啟動登錄序列記錄器”鏈接來啟動LSR 。
  如果您在Linux上使用Acunetix，則可以通過運行acunetix-login-recorder 從終端啟動Login Sequence Recorder 。

啟動登錄序列記錄器后，您的瀏覽器可能會彈出一個確認對話框，希望您打開LSR。單擊“ 啟動應用程序”或“ 打開”鏈接（取決于您的瀏覽器）以打開“登錄序列記錄器”。

默認情況下，LSR將瀏覽到您要為其配置登錄序列的目標URL。

您可以開始瀏覽到登錄頁面并執行成功的登錄。請記住使用正確和有效的憑據。記錄每個動作后，右側面板將開始填充登錄動作。由于LSR記錄的是動作而不是HTTP請求，因此它還可以與使用反CSRF令牌的Web應用程序一起使用。

登錄后，您可能希望重播這些操作，以確保登錄順序有效并成功登錄。可以通過單擊屏幕左下方的“ 播放”來完成。

右側窗格顯示已記錄的操作的列表。單擊特定動作將在屏幕右下方顯示“動作屬性”。單擊旁邊以記錄限制。

記錄限制

限制指示“爬網程序和掃描儀”在掃描期間不要遵循特定的鏈接。通常，您可能希望限制注銷鏈接或其他可能破壞有效會話的鏈接，以確保掃描程序不會在掃描期間注銷。除了標準的GET和POST請求外，LSR還支持對RESTful Web服務中常用的HTTP方法（例如PATCH，PUT，DELETE）的限制。

如果您要限制的鏈接包含隨機數或一次性令牌，則可以使用通配符（*）來限制值更改的鏈接。可以按照以下步驟設置限制。

• 單擊您希望限制的鏈接。
• 單擊鏈接后，將彈出一個對話框，詢問您是否希望Acunetix
  • 攔截此請求（以其確切形式或使用通配符）
  • 轉發與此請求匹配的請求
  • 轉發所有請求，這意味著將沒有任何限制
  • 在此示例中，我們不需要對限制進行任何修改，因此我們可以選擇第一個選項- 使用完全匹配的限制請求
• 限制將被記錄，并顯示在右側面板中。您可以根據需要添加任意數量的限制。

識別有效的身份驗證會話

在最后一步，LSR將嘗試自動識別有效的會話。必須使用會話模式，這樣掃描程序才能知道無效（注銷）會話與有效（登錄）會話之間的區別。如果掃描程序能夠知道會話已經無效，則可以重播登錄序列并再次驗證會話。

通過比較Web應用程序的登錄和注銷狀態來完成此操作。在某些情況下，無法自動識別差異。在這種情況下，您將需要通過導航到頁面并讓LSR識別模式來配置它，或者也可以手動完成。除了依賴Cookie的身份驗證機制外，LSR還支持依賴HTML5 LocalStorage的身份驗證機制。

導航時

• 這可以通過瀏覽網站的身份驗證區域來完成，該區域將根據登錄或注銷的用戶返回不同的響應。
• 例如，如果用戶登錄，則來自網站的響應將包含文本“注銷”。如果未在響應中找到該用戶，則該用戶未登錄。

手動地

• 可以通過選擇正在發送的請求和返回的模式來手動配置會話驗證。

通過單擊右側面板頂部的“ 檢查模式”，可以驗證會話模式。

單擊完成后，將提示您保存.lsr文件。將此保存的文件上傳到“掃描目標”設置頁面。