常见的爬行问题

关于爬行的问题?查看我们从以下客户收到的最佳问题。

appspider爬网swf / flash文件吗?

是的,appspider可以测试闪存的客户端和服务器流量。您需要在Appspider流量记录器中或通过第三方工具录制流量。appspider支持以下格式:

  • appsec toolkit流量文件(* .trec)
  • 打嗝文件(* . xml)
  • 帕罗斯岛文件(* . txt)
  • WebScarab文件(ConnugchationLog)
  • har(http存档)文件(* .har)
  • Fiddler文件(* .saz)

您可以将流量文件上传到appspider工具>交通记录器>添加文件

如何提高扫描速度?

在许多情况下,AppSpider将扫描重复内容以避免丢失任何内容。在某些情况下,这可以创造较长的扫描。您可以修改以下高级设置可以减少扫描时间。

爬行配置

  • maxperdircrawlresults = 100.

  • MaxPerLinkCrawlResults = 10

  • maxperdirchildnodes = 100.

  • MaxAttackFeedBackLinkScount = 10.

  • maxperfilenameCrodresults = 100.

攻击者配置

  • parametertoattackbeforimitingattacks = 1

  • linkstoattackbeforlimitingAttacks = 1

  • MaxSameNameParameterAttackPoints = 5

  • maxsamecookieparameterattackpoints = 5

  • maxsamenameparameterattackpointsperlink = 1

我应该什么时候取消选择“来自流量的导入cookie?”选项?

当您正在导入代理日志时,您需要离开从流量导入cookie选项选择,除非:

  • 您在Web应用程序中使用不同的身份验证方法。这通常意味着您使用流量日志来增加爬网覆盖,但您通过其他方法执行身份验证。

  • 流量日志记录了很长时间,因此日志中的所有cookie都已变为已过时。

如何记录特定序列并以相同的顺序执行它们?

假设您要记录确切的事件序列,例如在结账过程中填写送货页面,并攻击该顺序。你可以使用序列宏中可用的选项以顺序以顺序记录和重播事件。

序列选项允许您在序列中攻击最后一个页面。但是,如果启用此选项,它可能会导致扫描更慢地进入。建议您仅将扫描限制为宏。

如何扫描Web应用程序的某些部分,但排除其他部分?

AppSpider具有广泛的功能,允许用户抓取应用程序的某些部分而不是其他人。您可以使用白名单和黑名单来控制您扫描的应用程序的部分。这包括通配符和正则表达式的功能。

扫描REST接口有哪些限制?

以下是我们目前支持的一些关键问题:

  • 格式- 我们支持REST接口使用的大多数流行格式,包括Classic Name = Value,XML,JSON,CSV和GWT。

  • 认证和会话管理-我们支持HTTP_AUTH, Cookies和OAuth。我们还为定制解决方案提供接口。

  • 发现- 要了解可用的方法和输入,必须在RET接口和REST接口的客户端之间提供记录的流量。我们支持Swagger文档和URL。

以下是执行大规模扫描时的几个关键限制:

  • 认证和会话管理-如果你正在使用我们目前不支持的方案,那么必须为每个方案编写代码。

  • 发现- 虽然我们可以自动扫描基于Swagger的文档和URL,但我们没有支持RAML和API蓝图进行发现。这些技术依赖于在客户端和REST接口之间生成和录制流量的手动过程。

宏支持哪些浏览器?

AppSpider宏目前仅支持Microsoft Internet Explorer。

Acme.com/*字面匹配和Acme.com/*通配符之间有什么区别?

*是一个通配符,但如果匹配类型是通配符,它​​只用作通配符,否则是文字。

浏览器宏和录制流量之间有什么区别?

浏览器宏记录用户操作,可以一遍又一遍地重播。例如,如果在表单字段中输入“John”并按Enter键,则从运行时从这些操作生成请求。虽然记录的流量记录了原始请求和流量,除非替换会话cookie,否则使用。

两者都有它们的优势,除了宏有可能在每个步骤上失败,所以有的步骤越小,你要遇到问题的可能性就越小。建议宏不包含10多个步骤。如果您打算执行较长的录制,则应使用流量录制。

当网站上没有在网站上实现的特殊功能来防止交通重放,例如一个时间令牌时,流量录制很好。重放有一个时间令牌的请求是不可能的。宏也不支持闪光灯,因此如果要测试AMF流量,则需要创建流量录制。

什么级别的失败请求是一个关注的原因?

5%以上是一个很好的拇指。AppSpider监控服务器响应性并减慢或增加其速度,如果它看起来像AppSpider正在Dosing网站。

您可以在扫描正在运行以慢速AppSpider下,手动更改GUI中请求之间的请求之间的延迟。

有时,网站(如数据库查询)的部分可以比网站的其他部分慢慢,这将更多的CPU密集用于托管网站的服务器。因此,AppSpider可能能够扫描站点的一个部分,没有问题,但是遇到站点的区域较慢,并导致更多的请求。

将与正在测试的网站相关联的appspider测试页面?

不,它不会。appspider遵循爬网限制中设置的指南,不会测试您未将其配置为测试的页面。