Netsparker Standard 中文漢化使用教程Netsparker 如何從掃描中排除參數
從掃描中排除參數
Netsparker掃描是完全可配置的,甚至可以排除或包括參數。Netsparker Enterprise和Netsparker Standard都維護一個當前被忽略參數的列表。您可以在此列表中添加、編輯和刪除項目。
排除參數定義
對于每個參數,Netsparker將顯示“ 忽略的參數”中列出的以下定義。
如何指定要從掃描中排除的參數
- 首先,打開“忽略的參數”列表:
- 在Netsparker Enterprise中:
- 從主菜單中,選擇策略,然后選擇新掃描策略。
- 單擊“ 忽略的參數”選項卡。
- 在Netsparker Standard中:
- 在“ 掃描策略編輯器”對話框中,導航到“ 安全檢查”面板,然后選擇“ 忽略的參數”。
- 顯示已配置
POST和GET忽略的參數列表。 - 請執行下列操作:
- 創建一個新參數:
- 在Netsparker Enterprise中,單擊“ 新建”。
- 在Netsparker Standard中,單擊到列表底部的最后一個(空)行
- 完成NAME,PATTERN和TYPE定義
- 或者,編輯現有參數的定義。
- 創建一個新參數:
- 在Netsparker Enterprise中,點擊保存。 在Netsparker Standard中,單擊確定。
如何在掃描中指定所有GET或POST參數
您可以排除特定HTTP動詞(例如,POST動詞)的所有參數。
將以下條目添加到“忽略的參數”列表中:
- 名稱:所有POST參數
- 模式:*
- 類型:POST
模式選項
共有三種模式選項:
- 角色清單
- 特殊的角色
- 字符范圍
角色清單
- 方括號([])中包含的一組一個或多個字符(字符列表)可用于匹配參數中的任何單個字符,并且可包含幾乎任何字符代碼,包括數字
- 字符列表開頭的感嘆號(!)表示如果在參數中找到任何字符(字符列表中的字符除外),則匹配:
- 在括號外使用時,感嘆號與自己匹配
特殊的角色
要匹配這些特殊字符,請將其括在方括號中:
- 左方括號([)
- 問號(?)
- 數字(哈希)符號(#)
- 星號(*)
字符范圍
通過使用連字符(-)分隔范圍的上下限,charlist可以指定字符范圍,例如:
如果參數中相應的字符位置包含AZ范圍內的任何字符,則[A-Z]會導致匹配
如果參數中相應的字符位置包含HL范圍以外的任何字符,則[!H-L]會導致匹配
指定字符范圍時,它們必須以升序排列(從最低到最高)
[A-Z]是有效模式;[Z-A]不是有效的
多個字符范圍
要為同一字符位置指定多個范圍,請將它們放在相同的括號中,不帶分隔符:
- 如果參數中相應的字符位置包含AC或XZ范圍內的任何字符,則[A-CX-Z]將導致匹配
- 示例,名稱:foo,模式:fooba [r-ty-z]
連字符的使用
- 連字符(-)可以出現在字符列表的開頭(如果有感嘆號之后),也可以出現在字符列表的末尾以與之匹配
- 在任何其他位置,連字符標識一系列字符,這些字符由連字符兩側的字符分隔
推薦文章: