Netsparker Standard 命令行界面

命令行界面

Netsparker Standard具有一個命令行界面，可用于啟動掃描。它可用于集成自動化的Web應用程序安全性掃描，例如，一旦將新的源代碼提交給項目，即可通過第三方應用程序觸發掃描。您還可以使用命令行功能來自動化掃描操作，包括針對許多域的復雜掃描序列。

命令行參數

使用命令行界面時，可以使用參數來預配置Web漏洞掃描程序，還可以指定后掃描任務，例如生成掃描報告。這是所有可用參數的列表：

名稱：自動駕駛儀模式
參數： / a，/ auto
對于：使用此參數時，Netsparker將執行指定的掃描，使用指定的報告模板在指定的位置生成報告，然后退出。

在批處理過程中調用Netsparker時，最常使用自動駕駛選項。

名稱：掃描配置文件名稱參數： / p，/ profile
用于：使用此參數指定掃描期間應使用的掃描配置文件干凈Profi 的名稱。如果未指定，將使用默認的掃描配置文件。

掃描配置文件提供了一種強大而便捷的機制，可以在命令行執行期間傳遞復雜的掃描配置數據集。例如，配置文件允許在Netsparker中定義以下掃描設置，并作為單個命名配置進行訪問：

目標URL和掃描范圍（相對于該URL）
通過選定的掃描策略選擇的安全測試范圍
通過選定的掃描策略進行爬網和攻擊的線程數
掃描目標所需的身份驗證設置。
活動的解析器及其提取的鏈接將如何解釋
通過選擇優化策略來目標后端數據庫

掃描配置文件還支持高級掃描概念，例如能夠手動導入鏈接或添加HTTP請求。

名稱：目標URL
參數： / u，/ url
用于：使用此選項可以指定目標Web應用程序或Web服務的地址（URL）。除非已指定包含URL的掃描配置文件，否則這是必選參數。

如果指定了掃描配置文件，則Netsparker將從掃描配置文件派生其目標URL。如果指定了掃描配置文件，并且還指定了URL配置參數，則Netsparker將忽略掃描配置文件，并從目標URL參數派生其目標URL。

名稱：報告路徑
參數： / r，/ report
收件人：使用此選項可以指定文件名或應保存報告的路徑。如果僅指定文件名，則將在啟動Netsparker Standard的文件夾中創建報告。如果目標路徑包含空格字符，則必須在雙引號中指定該路徑。

此參數應始終與/ auto 參數結合使用。

名稱：報告模板名稱
參數： / rt，/ reporttemplate
：使用此參數指定報告模板的名稱。如果未指定，將使用默認掃描報告。您還可以多次使用此參數，以使用不同的模板導出多個報告。

名稱：漏洞
參數： / v“ conf，unconf，var”
對于：使用此選項可導出已確認/未確認的漏洞或報告中的變體。
注意：如果缺少該參數，則將導出“已確認”和“未確認”漏洞。該參數可以如下使用：

/ v“ conf，unconf”
/ v“配置文件”
/ v“ unconf，var”

或者

-v“ conf，unconf”
-v“conf”
-v“ unconf，var”

名稱：幫助
參數： / h，/ help
用于：使用此參數查看所有可用參數的列表。

名稱：靜默模式
參數： / silent
用于：使用此參數可禁止顯示錯誤消息。此參數是計劃掃描和自動作業的理想選擇。

名稱：身份驗證憑據
參數： / auth
用于：使用此參數可以指定Netsparker應在基本身份驗證，摘要身份驗證和NTLM身份驗證中使用的用戶名，密碼和域信息的組合。以下是一些示例：

/ auth用戶名密碼

/ auth用戶名密碼“主機或域”

/ auth用戶名@域密碼

/ auth主機\用戶名密碼

如果用戶名，密碼或域包含空格字符，則必須在雙引號中指定它們，如這些示例所示。作為使用/ auth參數的替代方法，可以將憑據配置為掃描配置文件的一部分。

名稱：記錄HTTP請求
參數： / lr，/ logrequests
：使用此選項記錄Netsparker掃描程序在Web應用程序安全掃描期間發送和接收的所有HTTP請求。HTTP請求將保存在名為“ HttpRequests.saz”的文件中，并將位于當前掃描目錄中。您可以使用Fiddler查看日志文件的內容。

名稱：從CLI設置Netsparker日志級別
參數：/日志級別[1-6]
為：使用該選項設置Netsparker的日志記錄級別。/ loglevel 必須后跟一個參數值，并且必須在1到6之間。

注意：整數值的含義是：

危急
錯誤
警告
信息
詳細
活動追蹤

命令行示例

本節包含如何在Netsparker Standard中使用命令行界面的一些示例。

如何掃描網站并生成報告

打開命令提示符。
將當前目錄更改為已安裝Netsparker.exe的目錄。
輸入以下內容：
- 命令： Netsparker / a / url http://test23.example.com / rt“詳細掃描報告” / r“ C：\ reports \ scan report.html”
- 說明：掃描http://test23.example.com 并使用“ 詳細掃描報告” 模板生成報告。將報告保存到C：\ reports \ scan report.html。

如何掃描網站并生成兩個報告

打開命令提示符。
將當前目錄更改為已安裝Netsparker.exe的目錄。
輸入以下內容：
- 命令： Netsparker / a / url http://test23.example.com / r“ C：\ reports \ scan report-1.html” / rt“詳細掃描報告” / r“ C：\ reports \ scan report-2 .html” / rt“ OWASP 2013十大報告”
- 說明：掃描http://test23.example.com 并生成兩個報告。使用“ 詳細掃描報告”模板掃描report-1.html，并使用OWASP 2013年十大報告模板掃描report-2.html。

如何使用NTLM身份驗證掃描網站

打開命令提示符。
將當前目錄更改為已安裝Netsparker.exe的目錄。
輸入以下內容：
- 命令： Netsparker / a / url http://test23.example.com / auth john.doe“秘密密碼” example.com
- 說明：掃描http://test22.example.com，并在詢問憑據時使用用戶名john.doe 和密碼秘密密碼。

如何從保存的掃描中生成報告

打開命令提示符。
將當前目錄更改為已安裝Netsparker.exe的目錄。
輸入以下內容：
- 命令： Netsparker / silent / auto / generatereport MyScan.nss / r“詳細掃描報告.htm” / rt“詳細掃描報告”
- 說明：加載掃描會話文件MyScan.nss并使用報告模板“詳細掃描報告”生成報告“詳細掃描Report.htm”。

如何設置Netsparker日志級別

打開命令提示符。
將當前目錄更改為已安裝Netsparker.exe的目錄。
輸入以下內容：
- 命令： Netsparker / loglevel 3
- 說明：將日志記錄級別設置為3（警告）

使用命令行界面掃描多個網站

使用命令行界面掃描多個網站有四個步驟：

創建帶有目標列表的文本文件
創建掃描配置文件（可選）
編寫Microsoft PowerShell腳本以啟動掃描/編寫Microsoft PowerShell腳本以啟動背對背掃描
啟動安全掃描

下面分別說明。

創建帶有目標列表的文本文件

創建一個文本文件，其中包含要掃描的目標網站的所有URL的列表。對于此示例，文本文件將稱為targets_list.txt。每個目標URL都應位于其自己的一行上，如以下示例所示：

```http://php.testsparker.com/http://aspnet.testsparker.com/```

創建掃描配置文件（可選）

如果您沒有使用默認的掃描配置文件，請為每個要使用Netsparker掃描的網站創建一個新的配置文件。如果要配置表單身份驗證或掃描策略優化器，則需要此功能。

對于此示例，我們具有以下掃描配置文件：

網站：http ://php.testsparker.com/掃描配置文件：php.testsparker.com
網站：http ://aspnet.testsparker.com/掃描配置文件：aspnet.testsparker.com

有關更多信息，請參見掃描配置文件概述。

編寫Microsoft PowerShell腳本以啟動掃描

使用Microsoft PowerShell腳本觸發安全掃描，用您的示例替換本示例中使用的示例變量。

$NetsparkerExecPath = "C:\Program Files (x86)\Netsparker\Netsparker.exe"# Variables$URLs = "C:\Users\User1\Documents\targets_list.txt"$NetsparkerReportPath = "C:\Users\User1\Documents\"$NetsparkerReportTemplate = "Detailed Scan Report"# foreach ($url in get-content $URLs) {         $domain = ([System.URI]"$url").Host         $report = $NetsparkerReportPath + $domain + "_" + (Get-Date -format "yyyyMMdHm")         start-process -FilePath "$NetsparkerExecPath" -ArgumentList "/url ""$url"" /profile ""$domain"" /a /s /r ""$report"" /rt ""$NetsparkerReportTemplate"""}

編寫Microsoft PowerShell腳本以啟動背對背掃描

對于此部分，它與上面相同，但是使用此腳本來運行背對背掃描。

$NetsparkerExecPath = "C:\Program Files (x86)\Netsparker\Netsparker.exe"# Variables$URLs = "C:\Users\User1\Documents\targets_list.txt"$NetsparkerReportPath = "C:\Users\User1\Documents\"$NetsparkerReportTemplate = "Detailed Scan Report"# foreach ($url in get-content $URLs) {         $domain = ([System.URI]"$url").Host         $report = $NetsparkerReportPath + $domain + "_" + (Get-Date -format "yyyyMMdHm")         start-process -FilePath "$NetsparkerExecPath" -ArgumentList "/url ""$url"" /profile ""$domain"" /a /s /r ""$report"" /rt ""$NetsparkerReportTemplate""" -Wait}

PowerShell腳本變量

下表列出了PowerShell腳本變量。

變量	描述
$ URLs	這是文本文件的保存位置。
$ NetsparkerReportPath	掃描準備就緒后，這是應在其中保存Web安全掃描報告的位置。
$ NetsparkerReportTemplate	這是Netsparker Desktop應用于報告的報告模板。

啟動安全掃描

觸發Microsoft PowerShell腳本后，Netsparker Standard將掃描在本文第一步中創建的文本文件中列出的所有目標網站和Web應用程序，并為每個掃描創建詳細的掃描報告。

本文章首發在網安wangan.com 網站上。