<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    Netsparker Standard 中文漢化使用教程
    展開或關閉
    第一章. 入門介紹
    什么是Netsparker? Netsparker Web應用程序安全掃描流程 Netsparker standard許可
    第二章. 安裝與導航
    如何安裝Netsparker Standard 如何更新Netsparker Standard 如何在Netsparker 內部安裝Hawk Netsparker Standard 導航
    第三章. 儀表板
    如何在Netsparker Standard查看與掃描儀表板
    第四章. 選項與配置
    Netsparker Standard如何配置日志記錄 Netsparker Standard如何配置語言、聲音和主題選項 Netsparker Standard如何配置Send to Action選項 Netsparker Standard如何配置Netsparker Assistant Netsparker Standard 高級選項 Netsparker Standard 存儲選項 Netsparker Standard 內部代理 Netsparker Standard 自動更新選項 Netsparker Standard 掃描策略選項 Netsparker Standard 代理選項 Netsparker Standard Netsparker Enterprise選項
    第五章. 掃描與安全檢查
    Netsparker 掃描概述與類型 Netsparker Standard代理模式下如何手動爬網 Netsparker Standar配置其他網站 Netsparker Standard如何導入和導出掃描會話 如何使用PowerShell腳本掃描IP范圍內的應用程序 Netsparker Standard如何掃描RESTful API Web服務 Netsparker Standard 最近掃描 Netsparker Standard怎么樣創建新掃描 Netsparker Standard如何配置URL重寫規則 Netsparker Standard如何掃描配置文件 Netsparker Standard如何將自定義漏洞檢測添加到掃描 Netsparker Standard WAF標識符 Netsparker Standard如何配置安全檢查 Netsparker Standard 通過腳本進行自定義安全檢查 Netsparker Standard如何禁用BREACH攻擊與公用目錄 Netsparker Standard如何配置登錄頁面標識符
    第六章. 排除參數
    Netsparker Standard HTTP請求生成器 Netsparker Standard 命令行界面 Netsparker Standard如何配置客戶端證書身份驗證 Netsparker Standard如何配置基本、摘要和NTLM/Kerberos身份驗證 Netsparker Standard 表單身份驗證的自定義腳本 Netsparker Standard如何配置標頭驗證 Netsparker Standard如何配置注銷檢測 Netsparker Standard如何進行HMAC身份驗證 Netsparker Standard如何手動身份認證 Netsparker Standard如何配置智能卡身份驗證 Netsparker Standard如何配置OAuth2身份驗證 Netsparker Standard如何配置表單身份驗證 Netsparker Standard如何驗證表單身份驗證配置 Netsparker Standard 交互式登錄
    第七章. 掃描策略與可選掃描設置
    Netsparker Standard掃描策略概述 Netsparker 如何從掃描中排除參數 Netsparker Standard怎么配置預定義的Web表單值 Netsparker Standard怎么掃描基于參數的導航網站 Hawk如何發現漏洞 Netsparker Standard如何配置JavaScript分析器 Netsparker Standard怎么創建掃描策略優化器 Netsparker Standard如何從掃描中排除文件類型 Netsparker Standard 高級掃描范圍設置 Netsparker Standard如何操作掃描范圍、URL和子目錄 Netsparker Standard如何計劃掃描
    第八章. 問題與指紋庫
    怎么查看Netsparker Standard中的問題 Netsparker 漏洞嚴重級別 Netsparker Standard如何查看HTTP請求和問題響應 Netsparker Standard如何查看JavaScript庫的完整列表
    第九章. 整合方式 - 問題追蹤系統
    Netsparker Standard如何與FogBugz集成 Netsparker Standard如何與Freshservice集成 Netsparker Standard如何與GitHub集成 Netsparker Standard如何與GitLab集成 Netsparker Standard如何與Jira集成 Netsparker Standard如何與Redmine集成 Netsparker Standard如何與ServiceNow集成 Netsparker Standard如何與TFS集成 Netsparker Standard如何與Unfuddle集成 Netsparker Standard如何與YouTrack集成 Netsparker Standard如何與Azure DevOps集成 Netsparker Standard如何與Bitbucket集成 Netsparker Standard如何與Bugzilla集成 Netsparker Standard如何與Clubhouse集成
    第十章. 整合方式 - 項目管理
    Netsparker Standard如何與Asana集成 Netsparker Standard如何與Trello集成
    第十一章. 整合方式 - Web應用程序防火墻(WAF)
    Netsparker如何生成Amazon Web Services WAF規則 Netsparker如何生成Cloudflare WAF規則 Netsparker Standard如何生成 F5 BIG-IP ASM WAF規則 Netsparker Standard如何生成FortiWeb WAF規則 Netsparker Standard如何生成Imperva SecureSphere WAF規則 Netsparker Standard如何生成ModSecurity WAF規則
    第十二章. 整合方式 - API
    Netsparker Standard如何與Webhooks集成 Netsparker Standard如何與Zapier集成
    第十三章. 報告書
    Netsparker 掃描結果報告 Netsparker Standard如何查看掃描結果報告 Netsparker Standard如何生成和下載報告 Netsparker Standard如何生成詳細的掃描報告 Netsparker 技術報告 Netsparker Standard如何生成執行摘要報告 Netsparker Standard怎么生成HIPAA合規報告 Netsparker Standard如何生成 ISO 27001符合性報告 Netsparker Standard如何生成OWASP 2013年十大報告 Netsparker Standard如何生成OWASP 2017年十大報告 Netsparker Standard如何生成PCI DSS符合性報告 Netsparker Standard如何生成SANS前25個報告 Netsparker Standard如何生成比較報告 Netsparker Standard如何生成知識庫報告 Netsparker Standard如何生成和下載列表 Netsparker Standard 自定義報告
    第十四章. 知識庫節點
    Netsparker Standard 知識庫節點介紹 Netsparker Standard如何查看 AJAX / XML HTTP請求節點 Netsparker Standard怎么查看攻擊可能性節點 Netsparker Standard如何查看Cookies節點

    Netsparker Standard如何操作掃描范圍、URL和子目錄

    Netsparker Standard 中文漢化使用教程 /

    掃描范圍

    使用“掃描范圍”,您可以定義應爬網目標Web應用程序的哪些部分。這又決定了要掃描的內容,因為除非首先對頁面、參數或任何其他對象進行爬網,否則將不會對其進行掃描。

    有時,您需要限制掃描范圍。例如,如果要掃描使用來自外部源數據的Web應用程序,則可以將掃描儀配置為跟蹤和掃描(或不跟蹤)外部源。

    默認情況下,Netsparker掃描器不跟蹤并掃描來自外部源的數據。

    另一種典型情況是,當您要掃描安裝在子文件夾或Web應用程序的僅一部分中的Web應用程序時。例如,如果要掃描的Web應用程序安裝在http://www.example.com/app1 上,并且您不希望掃描儀掃描來自http://www.example.com 域的其他任何內容,則您可以配置“掃描范圍”以將掃描限制為該子文件夾。

    在掃描范圍中定義URL

    Netsparker中將網站定義為完全合格的域名(FQDN)。FQDN是特定目標的完整域名,由兩部分組成:主機名和域名。

    域是在同一網絡中訪問和管理的一組計算機或IP地址。每個域都有一個名稱,例如example.com。在在線環境中,域名就是您的網站。在域下,您可以根據需要創建任意數量的主機。Web服務器托管文檔。

    以前,為了訪問名稱為“ example.com”的網站,訪問者必須輸入“ www”主機名作為前綴(盡管沒有技術義務)。默認情況下,許多域仍具有“ www”主機名。因此,FQDN為“ www.example.com”。

    沒有“ www”部分的域名稱為“來源”。“ www”代表您網站的常規子域。如今,原始主機和www主機都大多重定向到相同的IP地址,并被視為相同的FQDN。除www之外的任何其他主機名都會更改FQDN。例如,www.example.com 和api.example.com將被視為兩個不同的FQDN。

    此圖說明了URL的結構。

    Netsparker Standard如何配置掃描范圍

    1. 協議
    2. 主機或主機名
    4. 頂級域(TLD)
    5. 完全合格的域名(FQDN)

    這些示例均被視為一個網站,因為它們共享相同的FQDN。

    子域被認為是不同的網站,即使它們共享相同的FQDN。例如,api.example.com和test.example.com。

    配置URL路徑

    共有三個選項:

    • 輸入的路徑及以下
    • 僅輸入的URL
    • 整個領域

    Netsparker Standard如何配置掃描范圍

    輸入的路徑及以下

    當您選擇Entered Path and below時,Netsparker將僅爬網和攻擊目標路徑以及該路徑下的所有URL。如果您輸入URL https://example.com/testfolder/ ,則會抓取以下URL:

    以下網址將不會被抓取:

    如果您未在目標URL中輸入尾部斜杠,則Netsparker會假定目標URL以URL中的最后一個可用斜杠結尾,并會如圖所示通知您。

    Netsparker Standard如何配置掃描范圍

    僅輸入的URL

    當您選擇“ 僅輸入的URL”時,Netsparker將僅對目標URL進行爬網,并且不會跟隨外部鏈接。如果只想測試一頁和該頁面中的所有參數而不測試整個Web應用程序,則此功能很有用。如果您輸入https://example.com/testfolder/test.php ,則會抓取以下URL:

    以下網址將不會被抓取:

    如果輸入http://example.com/test ,則還將抓取諸如http://example.com/testx 之類的URL。在這種情況下,將掃描第二個URL,因為它包含目標URL。

    整個領域

    選擇“整個域”時,無論方案和端口號如何,Netsparker都將開始爬網和掃描目標URL以及所有以相同主機名開頭的URL。因此,如果您輸入https://example.com/testfolder/test.php ,則會測試以下URL:

    如何在Netsparker Standard中配置掃描范圍

    1. 打開Netsparker Standard。
    2. 在首頁標簽中,點擊新建。顯示“ 啟動新網站或Web服務掃描”對話框。
    3. 單擊“ 范圍”選項卡。

    Netsparker Standard如何配置掃描范圍

    1. 在“ 目標網站或Web服務URL”字段中,輸入URL。

    2. 在“ 作用域”下拉列表中,選擇一個選項:

      • 輸入的路徑及以下
      • 僅輸入的URL
      • 整個領域

    Netsparker Standard如何配置掃描范圍

    1. 根據需要包括或刪除RegEx。
    2. 使用RegEx排除URL中,啟用包括排除
    3. 如果需要,請從下拉列表中選擇“ 不允許的HTTP方法 ”。

    Netsparker Standard如何配置掃描范圍

    1. 根據需要完成其余的掃描選項和身份驗證。
    2. 點擊開始掃描。

    在掃描范圍中過濾URL

    可以使用正則表達式在“掃描范圍”中排除或包括URL。默認情況下,將選擇“ 排除”選項,并且存在三個預定義的正則表達式,這些正則表達式用于排除可能會終止經過身份驗證的會話的URL。當Netsparker找到與這些正則表達式之一匹配的URL時,它將不會抓取或掃描頁面以防止會話注銷。

    當您使用“包含”選項時,Netsparker掃描程序將僅爬網和掃描與那些正則表達式匹配的URL。

    如何在Netsparker Standard的掃描范圍中過濾URL

    1. 打開Netsparker Standard。
    2. 在“ 啟動新網站或Web服務掃描”對話框的“ 掃描設置”菜單中,單擊“ 范圍”。
    3. 在使用RegEx排除URL中,啟用包含或排除。

    Netsparker Standard如何配置掃描范圍

    1. 點擊開始掃描。

    編寫正則表達式以包含/排除URL

    您不需要了解用于過濾URL的正則表達式。您需要知道的是,有一些特殊字符在正則表達式中使用且不屬于其中時,必須使用反斜杠轉義。這些字符是()|。* +-?

    因此,如果您要為其編寫正則表達式的URL包含這些字符之一,請轉義。

    如何使用RegEx過濾URL的示例

    在典型的登錄會話中,所有頁面上的鏈接均允許用戶注銷,例如:

    <a href="session-end.php">Logout</a>

    如果Netsparker在掃描過程中對該鏈接進行爬網,它將結束會話。為確保掃描儀掃描所有頁面,您需要從掃描中排除該URL。為此,我們需要編寫一個正則表達式以匹配URL session-end.php。由于它包含需要轉義的特殊字符(連字符和點),因此正則表達式應為:

    session\-end\.php

    注意,反斜杠用于轉義-和。字符。另一方面,如果您要確保Netsparker始終爬網并掃描此類URL,請使用相同的正則表達式,然后勾選選項Include。

    掃描范圍例外

    重要的是要指出,在某些例外情況下,Netsparker將忽略“掃描范圍”配置。這些在下面突出顯示:

    • 身份驗證期間:大多數情況下,成功登錄嘗試或失敗登錄嘗試都會重定向到可能超出范圍的頁面。在這種情況下,掃描程序仍然需要對頁面進行爬網以檢查身份驗證是否成功。因此,Netsparker 在身份驗證請求期間不會檢查“ 掃描范圍”配置。
    • 切勿對照范圍檢查要掃描的目標URL。僅檢查從目標URL爬網的已爬網頁面。
    • 掃描程序將在執行與掃描范圍配置無關的JavaScript(DOM)模擬(解析)和DOM XSS攻擊時,請求位于外部域(在CDN設置中常見)的JavaScript文件。

    掃描范圍示例

    這是兩個掃描范圍示例:

    • 掃描子目錄
    • 排除子目錄

    掃描子目錄

    在某些情況下,您可能希望掃描網站的特定部分。例如:

    • 您已經在項目上創建了一個新目錄,并且只想掃描該目錄中的頁面。
    • 您運行了經過身份驗證的掃描,并且/ login目錄在掃描期間導致了問題。在這種情況下,您需要排除/ login目錄,但是這次將不掃描該目錄。您需要創建另一個掃描而不對它進行身份驗證以掃描/ login目錄。

    您應該知道,使用這些設置,將掃描子目錄下的所有頁面。

    目標網站設置:

    掃描范圍配置

    如何在Netsparker Standard中掃描目標網站上的子類別

    1. 打開Netsparker Standard。
    2. 在首頁標簽中,點擊新建。顯示“ 啟動新網站或Web服務掃描”對話框。
    3. 在“ 掃描設置”中,單擊“ 范圍”選項卡。
    4. 輸入目標URL或Web服務URL(例如http://example.com/admin/ )。

    Netsparker Standard如何配置掃描范圍

    1. 從“ 范圍”下拉列表中,選擇“ 輸入路徑”和“下方”。

    Netsparker Standard如何配置掃描范圍

    1. 在使用RegEx排除URL中,啟用Include。
    2. 在新字段中輸入子目錄(例如/ admin)。

    Netsparker Standard如何配置掃描范圍

    1. 點擊開始掃描。

    排除子目錄

    目標網站設置:

    掃描范圍配置

    • 范圍:輸入的路徑及以下
    • 目標網址:http://example.com/
    • 排除正則表達式:/ admin

    如何在Netsparker Standard中排除目標網站上的子目錄

    1. 打開Netsparker Standard。
    2. 在首頁標簽中,點擊新建。顯示“ 啟動新網站或Web服務掃描”對話框。
    3. 在“ 掃描設置”中,單擊“ 范圍”選項卡。
    4. 輸入目標URL或Web服務URL(例如http://example.com/admin/)
    5. 從“ 范圍”下拉列表中,選擇“ 輸入路徑”和“下方”。
    6. 在使用RegEx排除URL中,啟用排除。
    7. 在新字段中輸入子目錄(例如/ admin)。
    8. 點擊開始掃描。

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    007bug
    資深作者 165 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类