代理模式下的手動爬網

Netsparker Standard具有內置的代理，可讓您手動爬網目標并對其進行掃描。手動爬網是一個過程，用于掃描Web應用程序中無法自動爬網的部分。這可能有幾個原因。

可能是因為：

• 它使用第三方插件，例如Flash或Silverlight（當前不受Netsparker支持）
• 它使用需要DOM模擬的表單
• 如果網站未提供指向子目錄的鏈接，并且也需要進行掃描

當您要執行以下操作時，請使用手動爬網：

• 掃描未自動爬網的Web應用程序部分
• 掃描有限數量的URL和參數
• 發動受控攻擊

在手動爬網期間，掃描器將僅掃描您通過代理提供的URL，盡管您也可以將自動爬網和手動爬網結合在一起，如本文所述。

如何使用Netsparker Standard運行手動爬網

分為四個步驟：

1. 在代理模式下啟動Netsparker Standard
2. 配置瀏覽器以代理通過Netsparker的流量
3. 開始瀏覽您要掃描的頁面
4. 掃描手動爬網的頁面

步驟1：以代理模式啟動Netsparker Standard掃描儀

1. 接下來，啟動Netsparker Standard，然后從“主頁”選項卡中單擊“ 新建”。顯示“ 啟動新網站或Web服務掃描”對話框。

2. 在目標網站或Web服務URL中，輸入目標URL。目標URL將用于過濾從Web瀏覽器收到的請求，因此將僅添加與掃描相關的那些請求。因此，例如，如果您想掃描請輸入此URL。如果您在Web瀏覽器中瀏覽其他域中的頁面，則Netsparker不會將它們添加到掃描范圍中。

3. 請注意，從代理服務器捕獲的所有請求也將根據活動的掃描范圍進行過濾。要啟動Netsparker的代理，請從“ 開始掃描” 下拉列表中，選擇“ 手動爬網（代理模式）”。

步驟2：配置瀏覽器以代理通過Netsparker的流量

1. 默認情況下，啟動Netsparker的代理后，所有流行的瀏覽器（例如Internet Explorer，Google Chrome和Mozilla Firefox）都將自動代理通過它的流量。因此，您無需手動配置瀏覽器的代理設置
2. 如果您使用的瀏覽器不能通過Netsparker代理自動代理流量，請在開始掃描之前進行配置（啟用Use Custom Proxy），以將流量代理到Netsparker代理默認端口10010。

3. 啟動代理后，偵聽端口將顯示在“代理”按鈕上。

步驟3：開始瀏覽您要掃描的頁面

1. 使用網絡瀏覽器，開始瀏覽要掃描儀掃描的頁面。
2. 如果您查看“站點地圖”面板，則會發現這些瀏覽頁面在瀏覽時被添加到其中。

步驟4：掃描手動抓取的頁面

檢索完所有頁面后，請單擊“ 掃描”選項卡上的“ 繼續” 按鈕，以便掃描儀繼續攻擊站點地圖中列出的頁面。

如何在Web安全掃描中組合自動和手動爬網

1. 要自動對網站進行爬網，同時還要從手動爬網中添加URL，請打開“ 啟動新網站或Web服務掃描”對話框，然后 從“ 開始掃描” 下拉按鈕中選擇“ 爬網并等待 ”選項。

2. 在這種模式下，Netsparker將自動爬行網站，然后在開始“攻擊”階段之前停止。此時，從“ 掃描” 選項卡中，單擊“ 啟動代理” 以打開代理。

3. 在此階段，請遵循如何使用Netsparker Standard運行手動爬網中的步驟， 以配置瀏覽器以代理通過Netsparker Standard的流量，并瀏覽要添加到站點地圖以進行掃描的頁面。

使用Selenium進行手動爬網

Selenium測試框架允許您記錄和回放Web應用程序的瀏覽。它在開發人員，質量檢查工程師以及參與Web應用程序開發和測試的其他人員中非常受歡迎。

您可能已經具有Selenium腳本來測試Web應用程序。這些可能采用應用程序中某些流程的形式，例如多步驟表單或類似購物車的功能。您可以使用Selenium IDE Firefox瀏覽器擴展或任何其他驅動程序來重放記錄，并捕獲Netsparker中所有瀏覽的頁面和參數，并自動對其進行掃描。

如何使用Selenium和Netsparker進行Web應用程序的手動爬網

1. 打開Netsparker Standard。
2. 在代理模式下啟動Netsparker Standard掃描儀。

3. 在Selenium IDE上播放Macro。
   • 從瀏覽器的工具下拉菜單中單擊Selenium IDE。
   • 單擊“ 播放整個測試套件”。

4. 啟動自動漏洞掃描。
   • 微型完成后，請切換回Netsparker。
   • 檢查站點地圖， 以確認掃描程序已捕獲鏈接。
   • 單擊“ 繼續” 以繼續掃描，以便Netsparker可以開始攻擊參數。