Netsparker Standard 中文漢化使用教程如何在Netsparker Standard查看與掃描儀表板
在Netsparker Standard中查看歡迎儀表板
當您打開Netsparker Standard時,將顯示“歡迎使用儀表板”,并打開“ 開始新網站或Web服務掃描”對話框。關閉對話框以在窗口中查看以下區域。
“歡迎”頁面還包含指向更新的鏈接,Web應用程序安全博客中的最新文章以及支持和資源鏈接。
在Netsparker Standard中查看掃描摘要儀表板
掃描摘要儀表板使您可以在掃描運行時以及完成掃描后查看單個網站的最新安全掃描結果。
掃描摘要儀表板中的面板
本節列出并說明“掃描摘要儀表板”窗口中的面板。
- 活動(默認面板)
- HTTP請求/響應
- 知識庫查看器(默認面板)
- 攻擊雷達
- 執行SQL命令
- 獲取外殼
- 漏洞利用
- 利用短名稱
- 受控掃描
- 日志(默認面板)
- 站點地圖(默認面板)
- 問題(默認面板)
- 知識庫(默認面板)
- 進度(默認面板)
- 請求生成器
- 編碼器
- Netsparker助手
要將布局設置為默認,請單擊“面板”中的“重置布局”,或使用快捷鍵Ctrl + Shift + R。
網站地圖
“站點地圖”面板顯示掃描儀爬網的所有目錄和文件的列表。在每個節點內,列出了所有已識別的漏洞,安全漏洞和易受攻擊的參數。
在此示例中:
- 目錄是auth
- 該文件是“ login.php”
- 列出的第一個漏洞是:“通過HTTP傳輸密碼”
在掃描期間,您可以在站點地圖中查看每個文件的活動狀態。將指針移到節點上,將彈出一個窗口,顯示諸如ATTACKING,CRAWLED或SCANNED之類的信息。
問題
“問題”面板列出了所有檢測到的漏洞和其他問題。可以使用面板頂部的圖標對它們進行過濾,分組,排序和搜索,具體取決于您要查看的內容。
下表描述并說明了“問題”面板上方的圖標。
| 領域 | 說明 |
|---|---|
| 過濾 | 使用篩選器圖標( )通過以下條件篩選問題:- 嚴重性–嚴重,高,中,低,信息,最佳實踐,全部;- HTTP方法– ALL,GET,POST;- 內容類型:例如,application / xml,application / json,text / html等。 |
| 通過分組 | 使用“分組 依據” 圖標()按以下條件對問題進行分組:- 漏洞類型(默認);- 嚴重程度;- 確認書;- 網址;- 固定/不固定 |
| 排序方式 | 使用“排序依據”圖標( )可以按字母順序(或反向字母順序)對問題進行排序。 |
| 先前的設定 | 使用以前的設置圖標( ):- 保存設置;- 將設置恢復為默認 |
中央面板
中央面板顯示有關選定問題的詳細信息。
攻擊雷達
Attack Radar顯示一個圓形圖,該圓形圖顯示了在掃描階段(在執行大多數SQL Injection攻擊之前)每個安全檢查(SQLi,XSS)的正在進行的進度。掃描結束時,圖表將指示已測試的所有安全檢查以及發現每種類型的漏洞數量。
瀏覽器視圖
瀏覽器視圖顯示在瀏覽器的“問題”面板中選擇的項目。(禁用JavaScript)。
HTTP請求/響應
HTTP請求/響應顯示在“問題”和“站點地圖”面板中選擇的項目的請求和響應。
知識庫查看器
“知識庫查看器”面板顯示有關在“知識庫”面板中選擇的項目的更多詳細信息。它提供了知識庫中列表形式提供的信息的詳細分類。它還提供搜索和保存報告功能。
請求生成器
通過“請求構建器”面板,您可以處理HTTP請求,從而可以執行以下功能:
- 向目標發送請求
- 修改導入的HTTP請求
- 創建自己的HTTP請求
- 分析和利用漏洞
- 分析HTTP響應
漏洞
“漏洞”面板顯示有關所選漏洞的更多詳細信息,例如:
名稱
確定性值
分類
- PCI 3.2
- OWASP 2013
- OWASP 2017
- CWE
- 亞太經合組織
- WASC
- HIPAA
- ISO27001
- CVSS 3.0
- CVSS 3.1
利用證明
漏洞詳情
影響力
采取的行動
補救
成功開發所需的技能
外部參考
補救措施參考
概念證明筆記
執行SQL命令
SQL Exploiter面板使您可以在服務器中運行手動SQL查詢,以直接在目標上執行代碼或SQL命令。。這些SQL查詢由漏洞URL執行。面板使用給定的查詢更新URL,并將其發送到服務器。獲得響應后,查詢結果將顯示在面板內部。當所選漏洞是可利用的SQL Injection漏洞時,啟用此面板。
獲取外殼
“獲取外殼程序”面板在目標Web應用程序服務器上的外殼程序上運行OS命令。此面板使用給定的命令更新URL并將其發送到服務器。得到響應后,此命令的結果顯示在面板內部。當所選漏洞是可利用的命令注入,代碼評估,代碼執行或類似漏洞時,將啟用“獲取外殼程序”面板。
漏洞利用
漏洞利用LFl面板通過利用在掃描過程中檢測到的本地文件包含(LFI)漏洞,讀取目標Web服務器上文件的內容。
利用短名稱
“短文件名”面板定義要利用的路徑并顯示結果。短文件名是Windows創建的文件的MS-DOS兼容版本的名稱。例如,如果使用不應該從外部訪問的隨機名稱創建備份文件,例如backup-a8accb12bb74411eb248a1a05b0b0ecb.sql,則Windows將為此文件創建一個短文件名BACKUP?1.SQL。
短文件名漏洞使遠程攻擊者可以披露通常無法從外部訪問的重要文件和文件夾名稱,并獲得有關應用程序基礎結構的情報。這可能會導致包含敏感信息的文件(例如憑據,配置文件和維護腳本)泄漏。
受控掃描
“受控掃描”面板顯示“要掃描的參數和安全測試”,因此您可以選擇掃描單個頁面或參數來查找特定數量的漏洞。
編碼器
通過“編碼器”面板,您可以對各種格式的文本進行編碼和解碼。
活動
“活動”面板顯示當前的掃描活動。在掃描過程中,“活動”面板會提供有關HTTP請求的信息,以及實時對哪些文件和參數進行爬網或掃描的信息。
下表描述并解釋了“活動”面板中的字段。
| 領域 | 說明 |
|---|---|
| 方法 | 這是HTTP請求方法,例如GET,POST。 |
| 目標 | 這是當前正在爬網或掃描的URL。 |
| 參數 | 這是掃描的URL參數。 |
| 持續時間 | 這是當前操作,攻擊或掃描的長度。 |
| 當前活動 | 這是當前正在執行的安全檢查。例如,ShellShock是“命令注入”安全性檢查組中25個檢查中的24個。 |
| 整體活動 | 這是當前正在執行的安全檢查組。例如,命令注入是31個組中的第四個。 |
| 狀態 | 這是當前過程,例如分析,請求,解析和確認。 |
進展
“進度”面板顯示“掃描速度”和“掃描進度”(從零到100%)。它還具有“每秒請求數”滑塊,通過單擊滑塊上的任意位置,您可以調整每秒發送的請求數。
- 進度條估計的計算基于引擎的運行時間,這些請求的實際時間及其響應的分析,包括CPU密集型DOM模擬操作。
- 知識庫報告中的“掃描性能”部分反映了引擎的運行時間。
“進度”面板還提供以下信息:
- 鏈接
- 404回應
- 要求總數
- 開始(日期和時間)
- 請求失敗
- 頭要求
- 經過時間(時間)
- 估計(日期和時間)
掃描持續時間和速度
Web安全掃描的持續時間取決于許多因素,例如目標網站的大小和復雜性,掃描器與目標之間的帶寬可用性,目標的響應時間以及目標所針對的安全檢查次數。被掃描。
減少掃描時間
您可以做一些改進來提高掃描速度。從Netsparker的一端,您可以優化掃描策略,還可以增加掃描程序在掃描過程中打開的并發連接數。
默認情況下,在掃描期間,Netsparker Desktop將打開12個并發連接。通過增加并發連接數,您將增加目標服務器上的負載。在增加并發連接數之前,請確保服務器可以處理負載。
更多的并發連接并不總是可以產生更高的掃描速度。例如,如果目標服務器無法處理負載,則掃描速度可能會變慢。
日志
“日志”面板顯示在掃描期間發生的所有掃描儀操作的列表,并確認檢測到的注銷。它還會通知用戶由于憑據更改而導致登錄失敗。
知識庫
“知識庫”面板顯示有關“掃描”的其他信息列表,并按組進行分類,例如注釋和cookie的數量,爬網和掃描性能以及最慢的頁面。該信息對于突出顯示其他潛在的安全問題很有用,這些問題通常不會被歸類為漏洞,但可以幫助攻擊者獲得更多知識,以成功進行黑客入侵。Netsparker為用戶提供了對目標Web應用程序的完整,詳細的分析。單擊每個按鈕以查看其在中央面板中顯示的詳細信息。
Netsparker助手
Netsparker Assistant是一個智能掃描助手,可指導您進行掃描,檢測和顯示掃描配置異常的詳細信息,并使您能夠更改和優化當前配置。Netsparker助手面板和知識庫一起顯示在Netsparker標準窗口上。
您可以通過單擊相關選項卡在查看知識庫和Netsparker助手面板之間切換。
如何在Netsparker Standard中查看掃描摘要儀表板
- 打開Netsparker Standard。
- 加載先前的掃描或啟動新的掃描。
- 單擊查看選項卡。顯示控制板,顯示默認面板:站點地圖,控制板,中央面板,日志,問題和知識庫。
新增功能
在Netsparker Standard中,打開應用程序時,“歡迎使用儀表板”的右側將顯示“新增功能”彈出窗口。該彈出窗口的內容來自Netsparker網站上的那些博客文章,這些文章提供有關Netsparker Standard的新更新,發行和功能的信息。
默認情況下將顯示“新增功能”彈出窗口。您也可以通過單擊“幫助”選項卡上的“新功能”圖標來顯示和隱藏它。
推薦文章: