常见的爬行问题
关于爬行的问题?查看我们从以下客户收到的最佳问题。
appspider爬网swf / flash文件吗?
是的,appspider可以测试闪存的客户端和服务器流量。您需要在Appspider流量记录器中或通过第三方工具录制流量。appspider支持以下格式:
- appsec toolkit流量文件(* .trec)
- 打嗝文件(* . xml)
- 帕罗斯岛文件(* . txt)
- WebScarab文件(ConnugchationLog)
- har(http存档)文件(* .har)
- Fiddler文件(* .saz)
您可以将流量文件上传到appspider工具>交通记录器>添加文件。
如何提高扫描速度?
在许多情况下,AppSpider将扫描重复内容以避免丢失任何内容。在某些情况下,这可以创造较长的扫描。您可以修改以下高级设置可以减少扫描时间。
爬行配置
maxperdircrawlresults = 100.
MaxPerLinkCrawlResults = 10
maxperdirchildnodes = 100.
MaxAttackFeedBackLinkScount = 10.
maxperfilenameCrodresults = 100.
攻击者配置
parametertoattackbeforimitingattacks = 1
linkstoattackbeforlimitingAttacks = 1
MaxSameNameParameterAttackPoints = 5
maxsamecookieparameterattackpoints = 5
maxsamenameparameterattackpointsperlink = 1
我应该什么时候取消选择“来自流量的导入cookie?”选项?
当您正在导入代理日志时,您需要离开从流量导入cookie选项选择,除非:
您在Web应用程序中使用不同的身份验证方法。这通常意味着您使用流量日志来增加爬网覆盖,但您通过其他方法执行身份验证。
流量日志记录了很长时间,因此日志中的所有cookie都已变为已过时。
如何记录特定序列并以相同的顺序执行它们?
假设您要记录确切的事件序列,例如在结账过程中填写送货页面,并攻击该顺序。你可以使用序列宏中可用的选项以顺序以顺序记录和重播事件。
这序列选项允许您在序列中攻击最后一个页面。但是,如果启用此选项,它可能会导致扫描更慢地进入。建议您仅将扫描限制为宏。
如何扫描Web应用程序的某些部分,但排除其他部分?
AppSpider具有广泛的功能,允许用户抓取应用程序的某些部分而不是其他人。您可以使用白名单和黑名单来控制您扫描的应用程序的部分。这包括通配符和正则表达式的功能。
扫描REST接口有哪些限制?
以下是我们目前支持的一些关键问题:
格式- 我们支持REST接口使用的大多数流行格式,包括Classic Name = Value,XML,JSON,CSV和GWT。
认证和会话管理-我们支持HTTP_AUTH, Cookies和OAuth。我们还为定制解决方案提供接口。
发现- 要了解可用的方法和输入,必须在RET接口和REST接口的客户端之间提供记录的流量。我们支持Swagger文档和URL。
以下是执行大规模扫描时的几个关键限制:
认证和会话管理-如果你正在使用我们目前不支持的方案,那么必须为每个方案编写代码。
发现- 虽然我们可以自动扫描基于Swagger的文档和URL,但我们没有支持RAML和API蓝图进行发现。这些技术依赖于在客户端和REST接口之间生成和录制流量的手动过程。
宏支持哪些浏览器?
AppSpider宏目前仅支持Microsoft Internet Explorer。
Acme.com/*字面匹配和Acme.com/*通配符之间有什么区别?
*是一个通配符,但如果匹配类型是通配符,它只用作通配符,否则是文字。
浏览器宏和录制流量之间有什么区别?
浏览器宏记录用户操作,可以一遍又一遍地重播。例如,如果在表单字段中输入“John”并按Enter键,则从运行时从这些操作生成请求。虽然记录的流量记录了原始请求和流量,除非替换会话cookie,否则使用。
两者都有它们的优势,除了宏有可能在每个步骤上失败,所以有的步骤越小,你要遇到问题的可能性就越小。建议宏不包含10多个步骤。如果您打算执行较长的录制,则应使用流量录制。
当网站上没有在网站上实现的特殊功能来防止交通重放,例如一个时间令牌时,流量录制很好。重放有一个时间令牌的请求是不可能的。宏也不支持闪光灯,因此如果要测试AMF流量,则需要创建流量录制。
什么级别的失败请求是一个关注的原因?
5%以上是一个很好的拇指。AppSpider监控服务器响应性并减慢或增加其速度,如果它看起来像AppSpider正在Dosing网站。
您可以在扫描正在运行以慢速AppSpider下,手动更改GUI中请求之间的请求之间的延迟。
有时,网站(如数据库查询)的部分可以比网站的其他部分慢慢,这将更多的CPU密集用于托管网站的服务器。因此,AppSpider可能能够扫描站点的一个部分,没有问题,但是遇到站点的区域较慢,并导致更多的请求。
将与正在测试的网站相关联的appspider测试页面?
不,它不会。appspider遵循爬网限制中设置的指南,不会测试您未将其配置为测试的页面。