Netsparker Standard 中文漢化使用教程Netsparker Standard如何配置表單身份驗證
在Netsparker Standard中配置表單身份驗證
Netsparker Standard Web應用程序安全掃描程序具有表單身份驗證機制,可輕松配置需要用戶身份驗證的網站的掃描。
Netsparker Standard中的表單身份驗證機制通過登錄表單頁面的DOM填寫并提交您網站上的登錄表單。這意味著它不需要記錄任何登錄宏。它會自動檢測登錄表單組件,用戶名和密碼輸入。然后填充它們并提交登錄表單。為此,您只需要配置:
- 登錄表單網址
- 憑證(用戶名和密碼)
如何在Netsparker Standard中配置自動表單身份驗證
- 打開Netsparker Standard。
- 在首頁標簽上,點擊新建。顯示“啟動新網站或Web服務掃描”對話框。
- 選擇表單選項卡。將顯示“表單身份驗證”部分。
- 在“表單身份驗證”部分中,選中“已啟用”復選框。
- 在“ 登錄表單URL”中,輸入URL。
- 在用戶名字 段中,輸入用戶名。
- 在密碼字段中,輸入密碼。
如果需要,請使用“顯示/隱藏密碼”按鈕()。
- 如果需要,請單擊OTP字段中的省略號。
- 點擊開始掃描。
配置登錄表單URL
應該在Netsparker中配置的登錄表單URL是您的登錄表單所在頁面的URL。如今,大多數網站都為用戶提供了http://www.example.com/Login/ 之類的 URL 進行身份驗證。網站在首頁上通常具有位于標題或側邊欄部分的登錄名,這也是常見的。在這種情況下,請在Netsparker中指定您網站的主頁URL作為登錄表單URL。Netsparker更有可能在專用于登錄操作的頁面上檢測并填寫登錄表單,因此,如果您的首頁和專用登錄頁面上均具有登錄表單,請始終指定專用登錄表單URL。
如何在Netsparker Standard中配置登錄表單URL
- 打開Netsparker Standard。
- 在首頁標簽上,點擊新建。顯示“啟動新網站或Web服務掃描”對話框。
- 選擇表單選項卡。顯示“表單身份驗證”面板。
- 選擇啟用復選框。
- 在“ 登錄表單URL”中,輸入包含您專用的登錄表單頁面的URL。
- 從如何在Netsparker Standard中配置自動表單身份驗證的步驟6繼續。
配置多組憑據和URL
憑據是Netsparker在Web應用程序安全掃描過程中進行身份驗證所需的另一條信息。您可以輸入一組以上的憑據來模擬網站支持的不同類型的角色,例如一個用于普通用戶,一個用于管理員用戶。這樣,您將能夠輕松地在帳戶之間切換,并使用具有不同特權的不同用戶帳戶執行經過身份驗證的掃描。
如何在Netsparker Standard中配置多組憑據和URL
- 打開Netsparker標準。
- 在首頁標簽上,點擊新建。顯示“啟動新網站或Web服務掃描”對話框。
- 選擇表單選項卡。將顯示“表單身份驗證”部分。
- 啟用已啟用復選框。
- 在“ 登錄表單URL”中,輸入URL。
- 單擊第一個角色下方的空白處。顯示另一個角色的新空間。
- 在“ 用戶名” 字段中,輸入用戶名。
- 在密碼字段中,輸入密碼。
根據需要使用“顯示/隱藏密碼”按鈕()。
- 繼續根據需要添加其他人的行和登錄憑據。(請記住,一次掃描只能使用一個角色。對于每個角色都應運行不同的掃描。)
- 點擊開始掃描。
使用OTP配置表單身份驗證
Netsparker Standard支持使用一次性密碼(OTP)進行表單身份驗證。通過使用密鑰提供這種2FA,Netsparker Standard可以自動填寫OTP,以便Netsparker可以訪問并可以掃描目標網站的所有部分。
支持兩種OTP類型:
- 基于時間(TOPT)
- 基于HMAC(HOPT)
OTP字段
下表列出并說明了“ OTP設置”對話框中的字段。
| 按鈕/部分/字段 | 描述 |
|---|---|
| OTP類型 | 這是OTP的類型。這兩種類型是:- TOPT是由算法生成的臨時密碼,該算法使用一天中的當前時間作為其驗證因素之一。- HOPT是一種密碼算法,它使用基于哈希的消息認證碼(HMAC)。 |
| 密鑰 | 這是用于生成OTP的密鑰,由目標網站提供。 |
| 數字 | 這是用于生成OTP長度的位數。 |
| 周期(秒) | 這是重新生成OTP的時間(以秒為單位)。 |
| 算法 | 這是加密算法。 |
| 生成OTP | 單擊以生成一次性密碼。 |
| 從QR碼讀取 | 單擊以讀取目標網站提供的QR(快速響應),以生成OTP設置。 |
如何使用OTP配置表單身份驗證
- 打開Netsparker Standard。
- 在首頁 標簽上,點擊新建。顯示“啟動新網站或Web服務掃描”對話框。
- 單擊表單選項卡。將顯示“表單身份驗證”部分。
- 選中已啟用復選框。
- 在“ 登錄表單URL” 字段中,輸入URL。
- 在用戶名字段中,輸入用戶名。
- 在密碼字段中,輸入密碼。
如果需要,請使用“顯示/隱藏密碼”按鈕()。 - 在“ OTP” 字段中,單擊相關角色的省略號。
在“表單身份驗證”設置中,每個角色都有自己的OTP設置。OTP設置以默認值打開。
在“ OTP設置”中,如果您的鏈接具有復制的otpauth 協議,則將基于該鏈接自動更改設置。
顯示“ OTP設置”對話框。
- 在“ OTP類型”字段中,選擇OTP類型。
- 在“ 密鑰” 字段中,輸入密鑰。
- 在“ 數字” 字段中,選擇一個選項。
- 在期間 字段中,輸入一個選項。
- 在算法 字段中,選擇一個選項。
- 單擊生成OTP。如果成功,將顯示OTP以及消息“成功生成OTP”。
- 單擊“ 確定” 為所選角色保存此OTP。
使用來自QR碼的OTP配置表單身份驗證
如果您沒有信息需要填寫OTP設置對話框中的字段,Netsparker可以從QR碼中檢索它們。輸入OTP設置后,Netsparker將嘗試自動登錄。如果在首次登錄后再次請求此類2FA信息,則Netsparker將嘗試自動登錄。
如果Netsparker沒有自動找到OTP字段,則可以使用“自定義腳本”填寫OTP字段。
如何通過QR碼配置OTP
- 打開Netsparker Standard。
- 在首頁標簽上,點擊新建。顯示“啟動新網站或Web服務掃描”對話框。
- 單擊表單選項卡。
- 選中已啟用復選框。
- 在“ 登錄表單URL”中,輸入URL。
- 在用戶名字段中,輸入用戶名。
- 在密碼字段中,輸入密碼。
- 在“ OTP” 字段中,單擊省略號。 顯示“ OTP設置”對話框。
- 單擊從QR碼讀取。顯示“ QR Code閱讀器”對話框。
- 點擊捕獲QR碼。Netsparker將捕獲QR碼并在OTP設置對話框中配置設置。
表單身份驗證登錄問題
可以將Netsparker標準表單身份驗證配置配置為使用交互式登錄功能來手動登錄網站,即使需要驗證碼或一次性代碼也是如此。它還支持自定義腳本,因此,如果您具有復雜的登錄機制(例如,如果您的網站在顯示登錄頁面之前執行了多次重定向),則可以編寫腳本來滿足這種設置。
但是,如果您發現掃描程序仍然無法自動登錄并掃描網站上受密碼保護的部分,請打開新的支持通知單以告知Netsparker支持人員問題出在哪里,以便我們解決該問題。
同時,您可以使用以下任何變通辦法來掃描受密碼保護的網站,直到我們解決此問題為止:
- 使用自定義Cookie
- 手動爬網(代理模式)
推薦文章: