注銷檢測

在掃描過程中，Netsparker單擊所有鏈接并提交所有表單。有時，這意味著會話可能會在經過身份驗證的掃描過程中終止（并因此注銷）。但是，注銷后，Netsparker必須繼續掃描整個網站，包括登錄后通常僅對用戶可用的區域。

開始掃描之前，您必須通過向Netsparker提供有關哪些頁面需要登錄的信息來驗證表單身份驗證。

為了教Netsparker如何識別這些頁面，在身份驗證驗證過程中采用了“注銷檢測”功能。

Netsparker自動識別兩種注銷檢測模式：

• 基于重定向的注銷檢測
• 基于關鍵字的注銷檢測

Netsparker可以使用這兩種方法來確定會話的狀態。但是，在某些情況下，您可能希望手動配置它們。

配置基于重定向的注銷檢測

當匿名請求受限頁面而沒有有效會話時，許多網站會將用戶重定向到登錄表單頁面。如果您的網站這樣做，則當用戶嘗試訪問沒有有效會話的受密碼保護的頁面時，您必須指定重定向到的URL，并且Netsparker將檢測到基于重定向的注銷。

• 為此，Netsparker會匿名請求登錄所需的URL，并在檢測到HTTP 30x重定向響應時識別基于重定向的注銷。Netsparker只是將表單身份驗證模擬請求的最后一個URL用作登錄所需的URL。（例如，表單身份驗證模擬可以使用諸如http://mysite.com/Dashboard/ 之類的URL。）
• 您也可以在URL中使用通配符。例如，如果您的Web應用程序在訪問登錄頁面時在URL中添加了隨機ID，則可以將以下URL與通配符一起使用：

https://www.example.com/login.aspx?path=*

如何在Netsparker Standard中配置基于重定向的注銷檢測

1. 打開Netsparker Standard。
2. 在主標簽中，點擊新建。顯示“啟動新網站或Web服務掃描”對話框。
3. 在對話框的“ 選項” 菜單中的“ 身份驗證” 選項卡中，單擊“ 表單”。顯示表單驗證設置。
4. 勾選已啟用復選框。表單身份驗證字段已啟用。
5. 在“ 登錄表單URL” 字段中，輸入URL：[http://aspnet.testsparker.com/administrator/?r=/Dashboard/]
6. 在“ 角色” 部分的“ 用戶名” 下，輸入您的用戶名。[alan@turing.com]
7. 在“ 角色”部分的“ 密碼”下，輸入密碼。[ theturingtest ]

8. 單擊驗證登錄和注銷。該驗證窗體身份驗證過程將開始。

9. 該過程完成后，“登錄模擬/注銷檢測”部分將并排顯示并填充。

10. 如果需要，請單擊幫助藍色幫助文本框中的URL。

在需要登錄的網址 顯示字段。重新輸入URL，然后單擊“ 使用此URL檢測注銷”。在大多數情況下，由于Netsparker會成功猜出它，因此您無需更改“需要登錄” URL。但是，萬一出現錯誤，您可以選擇更改它并重做注銷檢測。

11. 在藍色的幫助文本框中，單擊“ 基于重定向” 鏈接。顯示配置。

12. 在“ 驗證表單身份驗證”中，單擊“ 確定”。

配置基于關鍵字的注銷檢測

當匿名請求發送到登錄URL時，或者當標識的登錄URL顯示的頁面與經過身份驗證的頁面非常相似時，某些網站不會發出重定向。在這種情況下，Netsparker將檢測并使用基于關鍵字的注銷。這種類型的注銷檢測通過在HTTP響應中搜索特定的關鍵字來標識注銷的會話。因此，如果在響應中找到了所有指定的關鍵字，則Netsparker會確定該會話當前已注銷或已被使無效。

使用此方法時，掃描程序將在HTTP響應中查找特定的關鍵字。您可以在此列表中指定任意多個關鍵字。Netsparker必須在HTTP響應中將它們全部匹配，以確認會話已終止。您還可以在關鍵字中使用正則表達式。如果這樣做，請檢查 正則表達式嗎？關鍵字模式旁邊的復選框。

如何在Netsparker Standard中配置基于關鍵字的注銷檢測

1. 打開Netsparker Standard。
2. 遵循如何在Netsparker Standard中配置基于重定向的注銷檢測中的步驟2至10 。
3. 在藍色的幫助文本框中，單擊“ 基于重定向” 鏈接。顯示配置。

4. 為所需的那些關鍵字啟用RegEx。

5. 在“ 驗證表單身份驗證” 對話框中，單擊“ 確定”。

為不支持的登錄表單配置身份驗證

如果要為不支持的登錄表單配置身份驗證，則可以編寫自定義腳本并將其上傳到Netsparker Enterprise。