<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    Netsparker Standard 中文漢化使用教程
    展開或關閉
    第一章. 入門介紹
    什么是Netsparker? Netsparker Web應用程序安全掃描流程 Netsparker standard許可
    第二章. 安裝與導航
    如何安裝Netsparker Standard 如何更新Netsparker Standard 如何在Netsparker 內部安裝Hawk Netsparker Standard 導航
    第三章. 儀表板
    如何在Netsparker Standard查看與掃描儀表板
    第四章. 選項與配置
    Netsparker Standard如何配置日志記錄 Netsparker Standard如何配置語言、聲音和主題選項 Netsparker Standard如何配置Send to Action選項 Netsparker Standard如何配置Netsparker Assistant Netsparker Standard 高級選項 Netsparker Standard 存儲選項 Netsparker Standard 內部代理 Netsparker Standard 自動更新選項 Netsparker Standard 掃描策略選項 Netsparker Standard 代理選項 Netsparker Standard Netsparker Enterprise選項
    第五章. 掃描與安全檢查
    Netsparker 掃描概述與類型 Netsparker Standard代理模式下如何手動爬網 Netsparker Standar配置其他網站 Netsparker Standard如何導入和導出掃描會話 如何使用PowerShell腳本掃描IP范圍內的應用程序 Netsparker Standard如何掃描RESTful API Web服務 Netsparker Standard 最近掃描 Netsparker Standard怎么樣創建新掃描 Netsparker Standard如何配置URL重寫規則 Netsparker Standard如何掃描配置文件 Netsparker Standard如何將自定義漏洞檢測添加到掃描 Netsparker Standard WAF標識符 Netsparker Standard如何配置安全檢查 Netsparker Standard 通過腳本進行自定義安全檢查 Netsparker Standard如何禁用BREACH攻擊與公用目錄 Netsparker Standard如何配置登錄頁面標識符
    第六章. 排除參數
    Netsparker Standard HTTP請求生成器 Netsparker Standard 命令行界面 Netsparker Standard如何配置客戶端證書身份驗證 Netsparker Standard如何配置基本、摘要和NTLM/Kerberos身份驗證 Netsparker Standard 表單身份驗證的自定義腳本 Netsparker Standard如何配置標頭驗證 Netsparker Standard如何配置注銷檢測 Netsparker Standard如何進行HMAC身份驗證 Netsparker Standard如何手動身份認證 Netsparker Standard如何配置智能卡身份驗證 Netsparker Standard如何配置OAuth2身份驗證 Netsparker Standard如何配置表單身份驗證 Netsparker Standard如何驗證表單身份驗證配置 Netsparker Standard 交互式登錄
    第七章. 掃描策略與可選掃描設置
    Netsparker Standard掃描策略概述 Netsparker 如何從掃描中排除參數 Netsparker Standard怎么配置預定義的Web表單值 Netsparker Standard怎么掃描基于參數的導航網站 Hawk如何發現漏洞 Netsparker Standard如何配置JavaScript分析器 Netsparker Standard怎么創建掃描策略優化器 Netsparker Standard如何從掃描中排除文件類型 Netsparker Standard 高級掃描范圍設置 Netsparker Standard如何操作掃描范圍、URL和子目錄 Netsparker Standard如何計劃掃描
    第八章. 問題與指紋庫
    怎么查看Netsparker Standard中的問題 Netsparker 漏洞嚴重級別 Netsparker Standard如何查看HTTP請求和問題響應 Netsparker Standard如何查看JavaScript庫的完整列表
    第九章. 整合方式 - 問題追蹤系統
    Netsparker Standard如何與FogBugz集成 Netsparker Standard如何與Freshservice集成 Netsparker Standard如何與GitHub集成 Netsparker Standard如何與GitLab集成 Netsparker Standard如何與Jira集成 Netsparker Standard如何與Redmine集成 Netsparker Standard如何與ServiceNow集成 Netsparker Standard如何與TFS集成 Netsparker Standard如何與Unfuddle集成 Netsparker Standard如何與YouTrack集成 Netsparker Standard如何與Azure DevOps集成 Netsparker Standard如何與Bitbucket集成 Netsparker Standard如何與Bugzilla集成 Netsparker Standard如何與Clubhouse集成
    第十章. 整合方式 - 項目管理
    Netsparker Standard如何與Asana集成 Netsparker Standard如何與Trello集成
    第十一章. 整合方式 - Web應用程序防火墻(WAF)
    Netsparker如何生成Amazon Web Services WAF規則 Netsparker如何生成Cloudflare WAF規則 Netsparker Standard如何生成 F5 BIG-IP ASM WAF規則 Netsparker Standard如何生成FortiWeb WAF規則 Netsparker Standard如何生成Imperva SecureSphere WAF規則 Netsparker Standard如何生成ModSecurity WAF規則
    第十二章. 整合方式 - API
    Netsparker Standard如何與Webhooks集成 Netsparker Standard如何與Zapier集成
    第十三章. 報告書
    Netsparker 掃描結果報告 Netsparker Standard如何查看掃描結果報告 Netsparker Standard如何生成和下載報告 Netsparker Standard如何生成詳細的掃描報告 Netsparker 技術報告 Netsparker Standard如何生成執行摘要報告 Netsparker Standard怎么生成HIPAA合規報告 Netsparker Standard如何生成 ISO 27001符合性報告 Netsparker Standard如何生成OWASP 2013年十大報告 Netsparker Standard如何生成OWASP 2017年十大報告 Netsparker Standard如何生成PCI DSS符合性報告 Netsparker Standard如何生成SANS前25個報告 Netsparker Standard如何生成比較報告 Netsparker Standard如何生成知識庫報告 Netsparker Standard如何生成和下載列表 Netsparker Standard 自定義報告
    第十四章. 知識庫節點
    Netsparker Standard 知識庫節點介紹 Netsparker Standard如何查看 AJAX / XML HTTP請求節點 Netsparker Standard怎么查看攻擊可能性節點 Netsparker Standard如何查看Cookies節點

    Netsparker Standard如何配置URL重寫規則

    Netsparker Standard 中文漢化使用教程 /

    URL重寫規則

    Web應用程序開發人員使用URL重寫規則來隱藏URL目錄結構中的參數。這使搜索引擎更容易為網站上的所有頁面建立索引,而網絡瀏覽器則以其能夠理解的格式提供URL,并使用戶易于記憶。

    • 例如,當您瀏覽五金店在線圖書館時,URL通常看起來像這樣:http://www.example.com/tools/hammer/。 Web服務器使用URL重寫規則,將該URL轉換為特定格式,因此它可以從后端數據庫檢索數據并將工具詳細信息顯示給網站訪問者:

    http://www.example.com/library.php?tools=hammer。

    在此示例中,我們可以確定第一個URL中的子目錄(’/ tools’)實際上是library.php文件中接受輸入的參數,在這種情況下,該參數為工具名稱(’hammer’)。

    在掃描期間,Netsparker將正常的HTTP請求發送到Web應用程序以模仿攻擊者,確保Web應用程序接受了此類請求,并且URL中的所有參數均已正確掃描。也可以掃描URL中具有多個參數的頁面。

    URL重寫規則問題

    下表列出并說明了自動Web漏洞掃描程序嘗試掃描使用URL重寫技術和規則的網站時可能發生的問題。

    問題 描述
    不掃描網址中的參數 Web漏洞掃描程序在掃描使用URL重寫技術的Web應用程序時遇到的一個常見問題是,掃描程序無法識別URL中的參數。掃描程序假定URL為目錄,而不是參數名稱或值,并且不進行掃描。例如,當掃描URL http://www.example.com/tools/hammer/ 時,掃描程序會認為工具和Hammer都是目錄,而實際上工具是參數,而Hammer是值。
    長時間的漏洞掃描 此問題可能導致掃描時間延長和掃描結果不正確。例如,如果Web漏洞掃描程序正在掃描包含100,000個工具的工具數據庫,則由于該掃描程序無法識別URL中存在參數和值,因此它會認為它們都是不同的頁面,因此它將嘗試抓取它們并對其進行掃描。如果掃描儀無法正確處理內存問題和其他異常,則這也可能導致軟件崩潰,從而使您沒有結果,并浪費大量時間。如果未在Netsparker中配置URL重寫規則,它將啟發式地識別模式并限制掃描,以避免長時間掃描和錯誤結果。
    配置URL重寫規則是一個困難的過程 由于URL重寫技術已真正在Web應用程序中流行,因此許多商業Web漏洞掃描程序都允許用戶配置掃描程序,以便它可以識別URL中的參數并對其進行掃描。但是,即使可以將Web漏洞掃描程序配置為使用URL重寫規則來掃描網站,用戶仍然可能遇到其他幾個問題:- 配置URL重寫規則支持非常困難。- 用戶必須知道如何編寫正則表達式。- 用戶應有權訪問Web服務器配置文件除非您是Web應用程序本身的開發人員或對Web應用程序有深入的了解,并且除非您可以直接訪問配置文件,否則無法在掃描器上配置URL重寫規則。而且,即使您確實知道該怎么做,配置重寫規則也是一項非常困難且耗時的任務。
    未正確掃描Web應用程序的漏洞 假設您設法在Web漏洞掃描程序中配置URL重寫規則,則存在進一步的問題,或者至少在掃描程序如何掃描Web應用程序方面存在許多限制。為了安全起見,Web應用程序不接受已經“翻譯”的HTTP請求,例如http://www.example.com/library.php?tools=hammer。 默認情況下,.NET Web應用程序不接受此類HTTP請求。掃描MVC Web應用程序時,此問題更加嚴重,因為此類應用程序使用不同的URL重寫方法。盡管Netsparker可以掃描MVC Web應用程序,但即使配置了URL重寫規則,許多其他Web漏洞掃描程序也無法掃描。在掃描儀中配置了URL重寫規則后,它將發送一種稱為翻譯查詢的HTTP請求。即使Web應用程序安全掃描程序報告掃描已成功運行,大多數HTTP請求仍被拒絕,URL中的參數也未掃描,從而給您帶來了錯誤的安全感。

    默認情況下,Netsparker可以啟發式識別目標網站中的URL重寫。Netsparker Standard也可以自動配置設置但是,如果您可以按照此處的說明手動配置URL重寫規則,則掃描將更加有效。

    指定參數類型

    指定正確的參數類型可以使Web應用程序安全掃描更加準確。

    • 例如,假設指定以下模式:“ / {PARAM} / {ID}”,其中“ {PARAM}”是將被掃描的參數,“ {ID}”是其值。如果未指定參數類型,則保留默認值“ Any”,這意味著以下兩個URL都將與此URL Rewrite配置相匹配:

    • http://www.example.com/products/18

    • http://www.example.com/products/date.js

    • 上面的匹配過于籠統,可能導致錯誤的掃描結果。例如,Netsparker可能不掃描某些文件,因為在收集了足夠的樣本(即/ product / 1,/ product / 2,/ product / 3等)后,它將假設/products/date.js 只是product參數的另一個值,由于通用匹配。

    • 在這種情況下,如果將參數類型設置為“ Integer”,則可以避免此問題,因為Netsparker在掃描此類參數時將僅期望整數。然后,當Netsparker檢測到其他東西(例如/product/date.js)時,它將識別出它是一個文件并進行掃描。

    編碼網址

    如果您手動配置URL重寫規則,并且您的網站URL使用編碼值,請始終指定解碼值。

    • 例如,假設網站URL為:

    http://www.example.com/user/john%

    • 正確的URL重寫規則應包含解碼的字符,如下所示:

    http://www.example.com/user/ {firstname} - {lastname}

    • 此重寫規則不正確,因為它包含編碼的字符:

    http://www.example.com/user/{firstname} %2D {lastname}

    如何在Netsparker Standard中配置URL重寫規則

    1. 打開Netsparker Standard。
    2. 在“啟動新掃描”對話框的“掃描設置”菜單中,單擊“ URL重寫”。

    Netsparker Standard - URL重寫規則

    1. 啟發式 URL重寫支持是默認選項。從下拉列表中選擇自定義。

    Netsparker Standard如何配置URL重寫規則

    顯示自定義字段。

    Netsparker Standard如何配置URL重寫規則

    1. 選中啟用啟發式規則檢測,因此掃描程序仍會嘗試自動檢測目標網站上的所有其他URL重寫,并將它們與您配置的URL結合使用。
    2. 單擊復制規則以復制下面列出的自定義URL重寫規則。
    3. 單擊排除以從URL重寫檢測中排除某些URL。顯示“排除的路徑”對話框。
    4. 根據需要完成,然后在對話框上單擊“ 保存 ”。

    Netsparker Standard如何配置URL重寫規則

    1. 單擊“ 新建”以啟動“ URL重寫規則”向導。

    2. 在向導的第一步中,指定與您要添加的URL重寫規則匹配的URL,例如“ http://www.example.com/tools/hammer/”

    如果您希望在Netsparker中手動配置URL重寫規則,而無需使用向導,則只需單擊“占位符模式”和“ RegEx模式”輸入字段即可手動填充它們。

    Netsparker Standard如何配置URL重寫規則

    1. 在向導的第二步中,必須按照以下過程指定哪個路徑段是參數及其類型:
    • 檢查包含參數值的URL路徑段
    • 指定參數名稱
    • 從“參數類型”列的下拉菜單中指定參數類型

    Netsparker Standard如何配置URL重寫規則

    1. 如果URL中有多個參數,請指定所有參數。如圖所示,其示例是(http://www.example.com/departments/equipment/tools/hammer/)。

    Netsparker Standard如何配置URL重寫規則

    1. 單擊完成,以便自動生成占位符模式和正則表達式。單擊任意值以手動修改它們,例如,手動編寫正則表達式。

    Netsparker Standard如何配置URL重寫規則

    如果需要,請單擊“ 測試” 以測試URL重寫規則。運行測試時,在“測試”按鈕旁邊放置一個示例URL。

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    007bug
    資深作者 165 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类