Netsparker Standard 中文漢化使用教程Netsparker Standard如何配置OAuth2身份驗證
在Netsparker Standard中配置OAuth2身份驗證
Netsparker Standard支持OAuth2身份驗證機制,使您可以為需要OAuth2身份驗證的網站配置掃描。
Netsparker Standard中的OAuth2身份驗證機制支持RFC-6749中定義的所有授予類型。另外,除了OAuth2流之外,Netsparker還具有用于基于令牌的身份驗證的自定義流。
OAuth2身份驗證字段
下表列出并說明了OAuth2身份驗證部分中的字段。
| 字段 | 描述 |
|---|---|
| 流型 | 選擇一個。有五種類型:1. 授權碼;2. 客戶憑證;3. Implicit;4. 資源所有者密碼憑證;5. 自定義 |
| 認證方式 | 選擇身份驗證類型。選項包括:- 沒有;- 形成;- 基本、摘要、NTLM / Kerberos |
| 訪問令牌 | 在此選項卡中,您可以配置向訪問令牌端點發出請求以檢索OAuth2訪問令牌所需的參數。 |
| 授權碼 | 在此選項卡中,您可以配置向授權碼端點發出請求以檢索授權碼所需的參數。僅當選定的流類型為授權碼時,此選項卡才可見。 |
| 回應字段 | - 該訪問令牌是唯一的必填字段。其他參數是可選的,如果不支持,可以將其留空。- 如果OAuth2端點返回刷新令牌,則使用“ 刷新令牌”字段,Netsparker將使用該令牌來延長當前訪問令牌的到期時間。- 如果OAuth2Endpoint返回的過期值是毫秒或日期時間,則使用Expire字段。Netsparker將在訪問令牌過期之前阻止所有請求,并嘗試刷新當前請求。如果提供了刷新令牌,則將使用它。否則,將請求一個新令牌。- 該令牌類型字段是將每一個請求,其價值將是的OAuth2令牌發送的頭的名稱,而Netsparker抓取和攻擊的目標網站。如果未提供令牌類型,則Netsparker將默認為Bearer。 |
| 終點 | 必須配置端點和相關參數。Netsparker會自動列出RFC-6749中定義的默認參數名稱和值。由于這些參數名稱和值在不同的實現中可能有所不同,因此Netsparker允許您添加、刪除和編輯它們。 |
如何在Netsparker Standard中配置OAuth2身份驗證
- 打開Netsparker Standard。
- 在首頁標簽上,點擊新建。顯示“啟動新網站或Web服務掃描”對話框。
- 點擊OAuth2 標簽。
- 從“ 流量類型” 下拉列表中,選擇一個選項。
- 在“ 端點” 字段中,輸入端點URL。
- 如果以上已將“授權碼”選擇為“流類型”,則會顯示一個附加面板以設置其端點值。授權代碼將自動從其端點請求,并重定向到訪問令牌端點。盡管其值不能(將是動態值,由Netsparker自動填充),但是可以編輯將發送到訪問令牌端點的代碼字段的名稱。
- 如果OAuth2用戶終端需要額外的認證,如表格或基本、摘要、NTLM / Kerberos身份驗證,則必須從驗證下拉菜單中配置它們。
現在完全支持需要三步認證的OAuth2流,例如填寫用戶名/密碼字段或通過單擊“允許”按鈕進行交互。
如果表單需要用戶名和密碼,則可以使用3級身份驗證提供憑據。部分。還可以使用自定義腳本支持來實現諸如單擊按鈕之類的交互。
- 單擊響應字段選項卡。這些字段已使用RFC-6749中定義的默認值填充。
