用于安全檢查的自定義腳本

您可以在Netsparker中進行自己的攻擊，并在掃描過程中增加漏洞。

本主題說明Netsparker Standard如何幫助您將自定義漏洞檢測添加到掃描中。

確定將檢測到哪種漏洞類型

Netsparker的默認報告策略包含許多漏洞。它們是Netsparker可以立即發現的內置漏洞，包括SqlInjection，XSS，LFI。

此外，您可以通過創建新的報告策略來定義自定義漏洞類型。這些新的漏洞類型將對使用報告策略的所有掃描可用。

編寫腳本代碼時，應通過內置漏洞類型的名稱來引用它們，而通過生成的GUID來引用自定義漏洞類型。

在編寫自定義安全檢查腳本之前，應確定該腳本將引發哪種類型的漏洞。如果默認報表策略中尚不存在該策略，則應在報表策略編輯器中創建一個自定義策略。您可以指定漏洞的名稱，嚴重性以及在用戶界面和報告中顯示時要顯示的文本。

識別易受攻擊的網頁示例

為了使Netsparker能夠發現漏洞，它首先需要在掃描的爬網階段發現該頁面。自定義漏洞也是如此。繼續并執行“僅爬網”掃描以查找目標網站，并確保“站點地圖”樹中列出了易受攻擊的頁面。如果要為已創建的自定義漏洞編寫腳本，請不要忘記選擇自定義報告策略。

如何編寫用于安全檢查的自定義腳本

1. 右鍵點擊站點地圖中的目標頁面，然后點擊自定義腳本。

2. 顯示“ 自定義腳本”面板，并將其停靠在Netsparker窗口的右側。

3. 在“ 自定義腳本” 面板中，單擊“ 新建腳本” 下拉菜單，然后選擇您要編寫腳本的一種安全檢查類型。

4. 輸入有意義的名稱后，Netsparker將在本地計算機上的Netsparker文檔目錄中為您創建一個腳本文件，并使用系統的默認注冊JavaScript編輯器打開該文件。

5. 該文件已經使用一些模板自定義腳本代碼填充了。對代碼進行必要的更改，然后保存。

編寫腳本代碼時，應通過內置漏洞類型的名稱來引用它們，而通過生成的GUID來引用自定義漏洞類型。

6. 切換回Netsparker窗口。首先，請確保仍在站點地圖樹中選擇了目標易受攻擊的頁面，因為您編寫的代碼將針對所選內容執行。然后，從“ 自定義腳本” 面板工具欄中，單擊“ 執行”。
7. Netsparker完成執行自定義安全檢查腳本后，將顯示一條消息，通知您在執行過程中是否已發現漏洞：
   • 如果找到了一個漏洞（希望是您在自定義腳本代碼中提出的漏洞），它將顯示在站點地圖樹中所選漏洞頁面的節點下

• 如果未發現任何漏洞，請檢查您編寫的腳本代碼。您還應該檢查“ 日志” 面板中的錯誤日志。如果您的自定義安全檢查正在執行HTTP請求，則可以使用Fiddler之類的工具來診斷是否發送了正確的請求參數以及是否已從服務器返回了預期的響應。根據需要多次執行腳本代碼，直到在Sitemap樹中看到該腳本代碼。

8. 確認腳本可以按預期工作后，請執行新掃描。但是這次將其設為“全面掃描”（而不是“抓取并等待”）。

另外，請確保已在“掃描策略編輯器”中創建了新的掃描策略，并記住已選擇了剛剛創建的自定義安全檢查。

9. 如果一切正常， 掃描期間您的活動將列在“ 活動”面板中。這確認您編寫的腳本代碼正在針對所有發現的鏈接和參數執行。

掃描還將在易受攻擊的頁面中找到漏洞。