Netsparker Standard 中文漢化使用教程Netsparker Standard怎么掃描基于參數的導航網站
掃描基于參數的導航網站
基于參數的導航網站使用相同的URL和參數,但使用不同的參數值來提供不同的內容或通常做不同的事情。
PHP網站中基于參數的導航
在這些示例中,URL中使用了不同的參數值來顯示不同的內容。例如,當參數頁的值為“ home”時,將page加載home或home 。當相同參數的值page是“ support”時,將加載支持頁面。
每個參數值觸發執行不同的代碼分支以返回相關內容。
ASP.NET網站中基于參數的導航
ASP.NET Web窗體具有一種稱為回發的處理機制,該機制用于控制服務器端事件。它允許根據__EVENTTARGET參數的值執行不同的代碼分支。這里有一些例子。
這將在服務器端執行LinkButton1的click事件處理程序。
另一方面,這將在服務器端執行LinkButton2的click事件處理程序。
搜尋選項
掃描策略中有兩個相關的爬網選項(在“ 爬網”表中有說明):
- 最大簽名限制
- 最大頁面訪問
這些選項優化了對相似頁面的爬網。但是,如果目標網站使用基于參數的導航,則這些設置將阻止Netsparker正確地爬網和掃描整個網站。
如果增加這些值,則將延長掃描持續時間。此外,解決方法也有局限性,因為Netsparker掃描程序只會攻擊頁面的第一個實例,而忽略其余的實例,如本示例中所述:
- Netsparker將抓取以上頁面及其參數頁面和ID。
- Netsparker將忽略此版本的頁面,因為它具有已經爬網和掃描的相同的URL和參數(
page和id)。因此,它忽略了參數值,該參數值在基于參數的導航中用于觸發需要掃描的不同代碼。
如何在Netsparker Standard中配置基于參數的導航網站的掃描
- 打開Netsparker Standard。
- 在“ 主頁”選項卡中,單擊“ 掃描策略編輯器”。顯示“掃描策略編輯器”對話框。
- 選擇抓取標簽。
點擊新建。啟用了基于參數的導航字段。
在“ 基于參數的導航”部分中,選中“ 啟用基于參數的導航”復選框。
- 啟用基于查詢的導航:如果只希望將字符串參數識別為導航參數,請選中此選項。
- 導航參數RegEx:此選項具有用于匹配參數名稱的正則表達式。因此,當參數名稱與此正則表達式匹配時,它將被視為導航參數。該參數可以是GET或POST參數。兩個Netsparker掃描儀均配置的默認RegEx為:
^(page|redirect|goto|ctrl|content|__EVENTTARGET)$
- 最大頁面訪問量:掃描儀應訪問該頁面的最大次數。此數字應大于導航參數的不同值的數目。默認值為999。IT應該在1到100,000之間。
- 在導航參數RegEx字段中,輸入RegEx。
- 在“ 最大頁面訪問量”字段中,輸入一個值。
- 根據需要填寫其余字段。
- 單擊確定。
推薦文章: