高级选项
Advanced Options屏幕使您能够详细配置您的扫描模板,并提供在其他屏幕中不可用的选项。
扫描配置中有多种类型的元素:
- 标量—单值选项。例如,
JavaScriptEngine
. - 列表—可以有一个值列表的选项。例如,
ScopeConstraintList
.
ScanConfig
的名字 | 描述 | 格式 | 默认值 | 附加选项 | 类型 |
---|---|---|---|---|---|
JavaScriptEngine | 使用哪种浏览器进行扫描 | 枚举 | 铬 | 铬 Internet Explorer 违约 |
标量 |
CrawlConfig
的名字 | 描述 | 格式 | 默认值 | 附加选项 | 类型 | |
---|---|---|---|---|---|---|
MaxDomain | InsightAppSec将爬行的最大域数。✱ | 数量 | One hundred. | 没有一个 | 标量 | |
MaxCrawlResults | 在扫描过程中,允许InsightAppSec从服务器检索的最大web资源数。web资源由URL和参数(Query, POST)的唯一组合标识。达到这个数字后,爬行就停止了。 | 数量 | 5000 | 没有一个 | 标量 | |
MaxPerWebSiteCrawlResults | 每个域允许的最大web资源爬网程序数。 | 数量 | 1(无限) | 没有一个 | 标量 | |
MaxPerDirCrawlResults | 爬虫程序允许检索的任意目录中的web资源的最大数量。 | 数量 | 500 | 没有一个 | 标量 | |
MaxPerlinkScrawlResults | 爬虫程序允许检索给定链接的最大web资源数。它限制了可以抓取的具有相同URL但POST参数不同变体的资源数量。✱ | 数量 | 50 | 没有一个 | 标量 | |
MaxPerNormalizedLinkCrawlResult | 爬虫允许为给定的规范化链接请求的最大资源数。规范化链接是一个没有参数值的URL。 | 数量 | One hundred. | 没有一个 | 标量 | |
MaxPerDirChildNodes | 爬虫允许爬网的目录中的最大子节点数。子节点是一个目录或文件。此参数不计算孙子。✱ | 数量 | 300 | 没有一个 | 标量 | |
MaxBlackListExtCrawlResults | 基于爬虫程序允许检索的扩展的黑名单资源的数量。这是每个域。✱ | 数量 | One hundred. | 没有一个 | 标量 | |
MaxAttackFeedbackLinksCount | 爬虫将在队列中插入的攻击流量中发现的最大新链接数。✱ | 数量 | 300 | 没有一个 | 标量 | |
MaxPerfileNameScrawlResults | 爬虫允许分析的具有相同文件名的Web资源的最大数量。✱ | 数量 | 250 | 没有一个 | 标量 | |
RecursionDepth | InsightAppSec在URL中允许的最大重复。✱ | 数量 | 2 | 没有一个 | 标量 | |
MaxDirDepth | AppSpider将查找的目录的最大数量。路径中目录数超过此参数值的url将被忽略。例如,www.site.com/dir1/dir2/dir3/file.html 如果MaxDirDepth参数的值小于3,将被忽略。 |
数量 | 10 | 没有一个 | 标量 | |
DiscoveryDepth | InsightAppSec可以进入站点的最大发现深度。URL的发现深度是用户发现链接所需的步骤数。 | 数量 | 1(无限) | 没有一个 | 标量 | |
重复耐受 | InsightAppSec允许爬行的相同规范化url的最大数量。规范化URL是没有查询参数值的URL。 | 数量 | 25 | 没有一个 | 标量 | |
SequenceRepetitionTolerance | InsightAppSec将尝试遵循的最大相似序列数。 | 数量 | 5 | 没有一个 | 标量 | |
MaxReporteImage | InsightAppSec应该存储在数据库中发现的图像链接的最大数量 | 数量 | 500 | 没有一个 | 标量 | |
MaxReportedLinks | 除了将被爬虫抓取的Web资源外,还定义了InsightAppSec应该存储在数据库中发现的Web资源的最大数量。✱ | 数量 | 2500 | 没有一个 | 标量 | |
MaxReportedComments | InsightAppSec应该存储在数据库中发现的HTML注释的最大数量 | 数量 | 500 | 没有一个 | 标量 | |
MaxReportedScripts | InsightAppSec应该存储在数据库中的已发现脚本的最大数量。 | 数量 | 500 | 没有一个 | 标量 | |
MaxReportedEmails | InsightAppSec应存储在数据库中发现的电子邮件地址的最大数量。 | 数量 | 500 | 没有一个 | 标量 | |
MaxReportedForms | InsightAppSec应存储在数据库中的已发现表单的最大数量。 | 数量 | 500 | 没有一个 | 标量 | |
MaxBrowserPageWaitTimeout | InsightAppSec需要等待Browser组件加载页面并执行所有操作的最长时间。 | 号码。时间以毫秒为单位。 | 60000 | 没有一个 | 标量 | |
MaxBrowserWaitTillRequestTimeout | InsightAppSec应该等待页面上的JavaScript在触发事件(例如,'onclick'或'onmouseover')后向服务器发送AJAX请求的最大时间。 | 号码。时间以毫秒为单位。 | 4000 | 没有一个 | 标量 | |
MaxBrowserDOMDepth | InsightAppSec在HTML页面中应该尝试分析的最大dom深度。DOM深度是从页面的初始DOM到达该DOM所需的用户动作(事件)的最小数量。 | 数量 | 4 | 没有一个 | 标量 | |
MaxBrowserEventsPerLink | InsightAppSec每个链接应该触发的JavaScript事件的最大数量。链接是一个没有查询参数和片段的URL。 | 数量 | 200 | 标量 | ||
MaxBrowserEventsPerCrawlResult | InsightAppSec每1个web资源应该触发的最大JavaScript事件数。 | 数量 | One hundred. | 标量 | ||
MaxBrowserEventsPerDOM | 每个DOM视图InsightAppSec应该触发的JavaScript事件的最大数量。 | 数量 | One hundred. | 标量 | ||
NotInsertedLinkCountThreshold | 应在用户日志中报告的被忽略链接的最大数量。✱ | 数量 | 2 | 没有一个 | 标量 | |
CrawlPrioritization | 定义将用于抓取站点的算法。 | 枚举 | 衣冠楚楚的 | FIFO(数字:0) 智能(数字:1) DirBreadthFirst(数字:2) FoundBreadthFirst(数字:3) FoundDepthFirst(数字:4) 多汁(数字:5) LoginFormDiscovery(数字:6) 登录(数字:7) |
标量 | |
FileNotFoundRegex | InsightAppSec用于标识自定义404响应的正则表达式(未找到文件) | 字符串 | 默认:(页面|资源)(你请求的)?(was not|cannot be found) | 找不到页面| 404(.0)?-((文件(或目录)?未找到)|(未找到))| HTTP状态404 |未找到404 |
标量 | |
ServerErrorRegex | InsightAppSec用于标识web服务器错误响应的正则表达式。 | 字符串 | 没有一个 | 没有一个 | 标量 | |
InvalidURLRegexAttack | 将来自攻击流量的URL标识为无效的正则表达式,以便InsightAppSec不会攻击无效URL。 | 字符串 | ['\"\\(\\)<>]|\\ d ([+] | % 2 (bd)) \ \ d |重复\ \(|警报\ \ | / x \ \ w {7} \ \ . txt |
没有一个 | 标量 | |
InvalidURLRegexCrawl | 将在爬行过程中发现的URL标识为无效的正则表达式,以便InsightAppSec不会爬行和分析无效URL。 | 字符串 | ((\ \ | % 20)(或|和| MOD | ASC | DESC) (\ \ | % 20) | (< | % 3 C)脚本div (| | | | iframe风格| img) | x [? & =] [a-z0-9] {7} $ | C = N, O = D | \ \ ? C = M) |
没有一个 | 标量 | |
LockCookies | 标志,告诉InsightAppSec是否应该保留用户在扫描配置中提供的cookie的值,即使web服务器请求更改cookie。 | 布尔 | 1 | 1:表示锁定cookie值 0:表示不锁定cookie值 |
标量 | |
个案敏感性 | 这个参数告诉InsightAppSec如何处理网站的url。网站的后端文件系统可以区分大小写,也可以不区分大小写。 | 枚举 | CaseSensitive | 自动检测(数字:0) 区分大小写(数字:1) CaseInsensitive(数字:2) |
标量 | |
UniqueUrlsAcrossWebsites | 弃用 | |||||
SaveReferences | 该参数控制爬虫是否应该在数据库中存储交叉引用。✱ | 布尔 | 0 | 0:不保存交叉引用 1:保存交叉引用 |
标量 | |
使用浏览器 | 标志,告诉爬虫使用浏览器执行JavaScript事件处理程序。✱ | 布尔 | 1 | 0:不使用浏览器 1:使用浏览器 |
标量 | |
ShowBrowser | 指示爬虫在遍历网站页面时显示浏览器窗口的标志。✱ | 布尔 | 0 | 0:不显示浏览器 1:显示浏览器 |
标量 | |
StayOnPort | 标志,告诉爬虫不要偏离原始种子url的端口。这意味着如果启用了该选项,那么所有种子url都应该在同一个端口上。 | 布尔 | 0 | 0:爬虫可以从其他端口请求url 1: Crawler应该停留在端口上 |
标量 | |
RestrictToMacro | 这个标志强制InsightAppSec不抓取除宏执行期间发送的请求之外的任何链接。 | 布尔 | 0 | 0:表示爬虫可以发现新的链路 1:爬虫应该尝试发现新的链接 |
标量 | |
RestrictToManualCrawling | 这个标志强制InsightAppSec不抓取除从代理日志导入的请求之外的任何链接。✱ | 布尔 | 0 | 0:表示爬虫可以发现新的链路 1:爬虫应该尝试发现新的链接 |
标量 | |
RestrictToSeedList | 此标志强制InsightAppSec不爬网扫描配置中提供的种子链接以外的任何链接。 | 布尔 | 0 | 0:表示爬虫可以发现新的链路 1:爬虫应该尝试发现新的链接 |
标量 | |
RestrictToWebService | 这个标志强制InsightAppSec不抓取除web服务请求以外的任何链接。 | 布尔 | 0 | 0:表示爬虫可以发现新的链路 1:爬虫应该尝试发现新的链接 |
||
RestrictToSelenium | 这个标志强制InsightAppSec除了在执行Selenium脚本期间执行的请求之外不抓取任何链接。 | 布尔 | 0 | 0:表示爬虫可以发现新的链路 1:爬虫应该尝试发现新的链接 |
标量 | |
ImportCookiesFromTraffic | 这个标志控制InsightAppSec对它在导入的流量中找到的cookie做什么。 | 布尔 | 0 | 0:忽略饼干 1:进口饼干 |
标量 | |
PageEqualThreshhold | 该参数设置两个页面被认为相同的相似系数的最小值。✱ | 双 | 0.95 | 没有一个 | 标量 | |
PageSimilarThreshhold | 该参数设置两个页面具有相同结构的相似系数的最小值。✱ | 双 | 0.80 | 没有一个 | 标量 | |
闪光 | 这个标志告诉InsightAppSec是否应该分析Flash文件。 | 布尔 | 1 | 0:不分析Flash文件 1:应该分析Flash文件 |
标量 | |
启用高级Parser | 内部参数。覆盖扫描配置文件中的值。 | |||||
搜索URL | 这个标志告诉InsightAppSec是否应该尝试在HTML结构以外的地方寻找url:注释、JavaScript或文本。✱ | 布尔 | 1 | 0:不应该在非标准位置查找url 1:应该在非标准位置查找url |
标量 | |
MaxWebResourcesOverhead | 这个标志告诉InsightAppSec它可以根据中指定的值向抓取队列添加多少链接MaxCrawlResults 参数。这些额外的链接为爬虫提供了选择更有希望的链接来爬行的能力。如果没有这个参数,一旦队列满了,爬虫程序就会停止寻找新的链接。✱ |
数量 | 1000 | 没有一个 | 标量 | |
SeedUrlList | InsightAppSec应该开始扫描的种子url列表。 | 列表 | ||||
ScopeConstraintList | 此参数包含指定InsightAppSec应该抓取哪些url的规则。 | 列表 | ||||
BlackListExtensionList | 爬虫程序不允许爬行的扩展名列表。看到参数MaxBlackListExtCrawlResults 有关列表的详细信息。 |
列表 | ||||
GrayListExtensionList | 如果具有指定扩展名的Web资源没有查询参数,则爬虫程序不允许爬行的扩展名列表。看到参数MaxBlackListExtCrawlResults 为列表的详细信息。 |
列表 | ||||
二进制扩展列表 | 通常包含二进制内容的文件的文件扩展名列表。 | 列表 | ||||
文本扩展列表 | 通常带有文本内容的文件的文件扩展名列表。 | 列表 | ||||
BinaryContentTypeList | 用二进制内容标识文件的内容类型列表 | 列表 | ||||
HTMLContentTypeList | 标识HTML内容的内容类型列表 | 列表 | ||||
TextContentTypeList | 标识文本内容的内容类型列表 | 列表 | ||||
XMLContentTypeList | 标识XML内容的内容类型列表 | 列表 | ||||
BrowserDownloadWhitelistList | 浏览器应始终下载的URL列表 | 列表 | ||||
BrowserDonotDownloadExtensionList | 即使浏览器请求也不应该下载的文件扩展名列表 | 列表 | ||||
BrowserDoNotDownloadContentTypeList | 即使浏览器请求也不应该下载的文件的内容类型列表 | 列表 | ||||
LockedCookieList | 在扫描期间不应更改值的cookie名称列表 | 列表 |
AttackerConfig
的名字 | 描述 | 格式 | 默认值 | 附加选项 | 类型 |
---|---|---|---|---|---|
参数在限制攻击前攻击 | 没有一个 | 没有一个 | 标量 | ||
LinksToAttackBeforeLimitingAttacks | 没有一个 | 没有一个 | 标量 | ||
MaxSameNameParameterAttackPoints | 确定InsightAppSec将攻击多少具有相同名称(query或POST)的参数值。 | 数量 | 50 | 没有一个 | 标量 |
MaxSameCookieParameterAttackPoints | 确定一个cookie可以被InsightAppSec攻击多少个页面。 | 数量 | 25 | 没有一个 | 标量 |
MaxSameNameParameterAttackPointsPerLink | 确定具有相同名称(query或POST)的AppSpider将攻击具有相同URL的链接的参数值的数量。✱ | 数量 | 3. | 没有一个 | 标量 |
MaxNormalizedSameNameParameterTackPointsPerLink | 确定有多少具有相同标准化名称的参数InsightAppSec将攻击具有相同URL的链接。规范化名称是不含数组索引或任何其他索引类型的参数名称。 | 数量 | 10 | 没有一个 | 标量 |
ScopeConstraint | 确定AppSpider可以攻击哪些url的范围约束列表。如果该列表为空,InsightAppSec将不会攻击不符合中为爬虫指定的约束的urlCrawlConfig。ScopeConstraintList |
没有一个 | URL,方法,匹配条件,排除 | 列表 | |
DefaultDoNotAttackParam | InsightAppSec不应攻击的参数名称列表。此列表不应由用户更改。为方便起见,用户定义的不应该被攻击的参数被移到一个单独的参数:UserDoNotAttackParamList | 没有一个 | 参数名称,匹配条件 | 列表 | |
UserDoNotAttackParam | AppSpider不应该攻击的参数列表。 | 没有一个 | 参数名称,匹配条件 | 列表 |
MaxNormalizedSameNameParameterTackPointsPerLink
例如,如果一个页面具有参数params[1]、params[2]、params[3],那么所有这些参数都具有相同的规范化名称:params[]。
AuthConfig
的名字 | 描述 | 格式 | 默认值 | 附加选项 | 类型 | ||
---|---|---|---|---|---|---|---|
类型 | 此参数定义InsightAppSec将使用的身份验证类型。 | 枚举 | 没有一个 | None(数字:0):不进行身份验证 表单(数字:1):基于表单的自动身份验证 宏(数字:2):用于对用户进行身份验证。宏应该在参数中指定 MacroFile .会话接管(数字:3):用户将提供会话cookie。 SSORedirect(数字:4) 引导(数字:5) |
标量 | ||
HttpAuth | 标志,告诉InsightAppSec应该使用配置中的HTTP用户名和密码登录到使用HTTP身份验证的站点(基本、NTLM、Kerberos) | 布尔 | 0 | 0:不应该使用HTTP身份验证凭证 1:应使用HTTP身份验证凭据 |
标量 | ||
reloginafersessionloss | 标志,指定InsightAppSec在检测到会话丢失后是否应该重新登录。 | 布尔 | 1 | 0:不应该重新登录。 1:应该重新登录 |
标量 | ||
LogoutDetection | 标志,指定InsightAppSec是否应该尝试检测是否丢失会话。 | 布尔 | 1 | 0:不检测 1:应该检测 |
标量 | ||
UserAssistance | 留待将来使用 | ||||||
AssumeSuccessfulLogin | 标志,定义InsightAppSec是否应该检查用户是否使用参数LoggedInRegex中的正则表达式登录,或者它可以假设用户已经登录。✱ | 布尔 | 0 | 0:使用正则表达式检测用户是否登录 |
1:假设用户已经登录。 | ||
VerifyNotLoggedin | 这个标志定义InsightAppSec在尝试重新登录之前是否应该验证会话未登录。如果会话已经登录并且设置了该标志,InsightAppSec将不会尝试重新登录。✱ | 布尔 | 1 | 0:InsightAppSec将验证会话是否未登录。 1: InsightAppSec将验证会话是否已登录。 |
标量 | ||
PostponeLoginAction | 标志,如果在登录表单的action属性中定义了该标志,则告诉InsightAppSec是否应该推迟抓取链接。 | 布尔 | 1 | 0: InsightAppSec将抓取动作链接。 1: InsightAppSec将延迟爬行的动作链接。 |
标量 | ||
CreateNonAuthenticatedSession | 标志,决定InsightAppSec是否应该在创建经过身份验证的会话的同时创建一个未经身份验证的会话。只有当用户在扫描配置中提供身份验证信息时才应该设置此标志:登录宏、表单身份验证的用户名和密码。 | 布尔 | 0 | 0:不创建未经身份验证的会话 1:创建非认证会话。 |
标量 | ||
TreatFailedReloginAsError | 这个标志告诉InsightAppSec在重新登录用户失败时应该做什么。如果设置了该标志,则如果重新登录失败,扫描将停止。如果未设置标志,则InsightAppSec将继续扫描注销会话。注意,初始登录总是被视为一个错误。 | 布尔 | 1 | 0:不将重新登录失败视为错误,继续扫描 1:将重新登录失败视为错误。 |
|||
BlacklistSinglePasswordForms | 此标志确定爬网程序是否应发送来自具有一个密码字段的表单的请求。 | 布尔 | 0 | 0:允许抓取只有一个密码字段的表单 1:不要抓取只有一个密码字段的表单 |
标量 | ||
BlacklistMultiPasswordForms | 该标志决定爬虫是否应该从有两个密码字段的表单发送请求。 | 布尔 | 1 | 0:允许抓取带有两个密码字段的表单 1:不要抓取有两个密码字段的表单 |
标量 | ||
重新设置cookies | 此标志告知InsightAppSec是否应在每次重新登录之前重置所有Cookie。 | 布尔 | 1 | 0:在重新登录之前,不要重置会话中的Cookie 1:表示重置所有cookie。 |
标量 | ||
AccountType | 弃用 | ||||||
UsernameForm | 将用于表单身份验证的用户名。仅当参数类型设置为时使用形式 . |
字符串 | 没有一个 | 没有一个 | 没有一个 | ||
密码形式 | 将用于表单身份验证的用户密码。仅当参数类型设置为时使用形式 . |
字符串 | 没有一个 | 没有一个 | 标量 | ||
UsernameHttp | 将用于HTTP身份验证的用户名(Basic、NTLM或Kerberos)。对于域的NTLM身份验证,用户名的格式应为<域> / <用户名> |
字符串 | 没有一个 | 诺恩 | 标量 | ||
PasswordHttp | 用于HTTP身份验证的用户密码(基本、NTLM或Kerberos) | 字符串 | 没有一个 | 没有一个 | 标量 | ||
自我保护 | 此参数定义了InsightAppSec在集成Windows身份验证中使用Windows用户身份的范围。 | 枚举 | AutoLogonSecurityMedium | AutoLogonSecurityLow(数字:0):使用默认凭据对所有请求执行经过身份验证的日志 AutoLogonSecurityMedium(数字:1):使用默认凭据进行身份验证的日志只对本地Intranet上的请求执行 AutoLongSecurityHigh(数字:2):不使用默认凭据。请注意,只有通过实际计算机名指定服务器时,此标志才会生效。如果您通过“localhost”或IP地址指定服务器,则它不会生效。 |
标量 | ||
LoginLinkRegex | 定义正则表达式,InsightAppSec使用它来确定链接是否为登录链接(登录过程中使用的链接) | 字符串 | (日志|符号)[-]? (|)) |
认证 | 没有一个 | 标量 | |
LoggedInRegex | 定义InsightAppSec用于确定用户是否由于登录宏执行或登录表单提交或任何其他类型的受支持身份验证而登录的正则表达式。 | 字符串 | (符号|日志)[-]? (|) |
没有一个 | 标量 | ||
SessionLossRegex | 定义InsightAppSec用于确定用户是否已注销的正则表达式。此正则表达式仅应用于HTTP响应体。InsightAppSec将该正则表达式应用于所有响应(与SessionLossOnCanaryPageRegex中的正则表达式相反)。 | 字符串 | (重新)吗?登录 |
已注销 | 会话已过期 | 没有一个 | 标量 |
SessionLossHeaderRegex | 定义InsightAppSec用于确定用户是否已注销的正则表达式。此正则表达式仅应用于HTTP头。 | 字符串 | 地点:[^ \ \ n]{0100}((符号|日志)(在| | |未经身份验证的)\ \ b |
没有一个 | 标量 | ||
LogoutLinkRegex | 定义正则表达式,InsightAppSec使用该正则表达式确定链接是否是注销链接。这有助于InsightAppSec通过不单击或请求注销链接来保持登录状态。 | 字符串 | (签到时间)[-]?(输入打开退出关闭) |
密码 | 没有一个 | 标量 | |
LogoutPostBodyRegex | 定义正则表达式,InsightAppSec使用该正则表达式来确定带有POST数据的请求是否会导致会话注销。这有助于InsightAppSec通过不单击或请求注销链接来保持登录状态。 | 字符串 | (签到时间)[-]?(输入打开退出关闭) |
没有一个 | 标量 | ||
CanaryPage | 定义InsightAppSec将定期请求的URL,以确定会话是否丢失。应与参数一起使用吗SessionLossOnCanaryPageRegex . |
字符串 | 没有一个 | 没有一个 | 标量 | ||
SessionLossOnCanaryPageRegex | 定义正则表达式,InsightAppSec使用该正则表达式来确定带有POST数据的请求是否会导致会话注销。这有助于InsightAppSec通过不单击或请求注销链接来保持登录状态。应与参数一起使用吗CanaryPage |
字符串 | 没有一个 | 没有一个 | 标量 | ||
表单提交脚本 | 留给未来 | ||||||
SessionCookieRegex | 此参数包含InsightAppSec用来确定cookie是否是会话cookie的正则表达式。正则表达式只应用于cookie的名称。 | 字符串 | 会话\ \ b (CFID | CFTOKEN | | JSESSIONID | ASPSESSIONID [A-Z0-9] + | PHPSESSID | ASP [,] NET_SessionId) \ \ b |
没有一个 | 标量 | ||
SessionCookieLifespan | 此参数确定cookie的最大寿命,低于此寿命,cookie将被视为会话cookie。 | 天数(天) | 32 | 没有一个 | 标量 | ||
LogoutDetectionFrequency | 弃用 | ||||||
DiscoveryMaxLinks | 此参数定义登录组件在搜索登录表单时可以爬行的最大链接数。 | 数量 | 200 | 没有一个 | 标量 | ||
LoginMaxLinks | 此参数定义登录组件在提交登录表单后查找表明用户会话已登录的页面时可以抓取的最大链接数。 | 数量 | 50 | 没有一个 | 标量 | ||
DiscoveryDepth | 这个参数决定了爬虫在搜索登录表单时应该深入网站的深度。链接的深度是用户发现该链接所需访问的最小链接数(步骤)。 | 数量 | 10 | 没有一个 | 标量 | ||
LoginDepth | 此参数确定爬虫在搜索可确定登录状态的页面时,在提交登录表单后应深入网站的程度。链接的深度是用户应该访问的最小链接数(步骤),以便从登录表单的页面开始发现此链接。 | 数量 | 10 | 没有一个 | 标量 | ||
MaxMacroReloginAttempts | InsightAppSec尝试重新登录的最大次数。此参数不用于初始登录,初始登录只执行一次。 | 数量 | 3. | 没有一个 | 标量 | ||
DiscoveryPrioritization | 该参数确定登录表单发现爬虫程序应该使用的算法。建议不修改InsightAppSec默认选择的值。 | 枚举 | LoginFormDiscovery | FIFO(数字:0) 智能(数字:1) DirBreadthFirst(数字:2) FoundBreadthFirst(数字:3) FoundDepthFirst(数字:4) 多汁(数字:5) LoginFormDiscovery(数字:6) 登录(数字:7) |
标量 | ||
LoginPrioritization | 该参数确定了爬虫程序在提交登录表单后应该使用的算法,以查找表明已登录状态的页面,例如,“欢迎回到acme.com Bob”。建议不修改InsightAppSec默认选择的值。 | 枚举 | 登录 | FIFO(数字:0) 智能(数字:1) DirBreadthFirst(数字:2) FoundBreadthFirst(数字:3) FoundDepthFirst(数字:4) 多汁(数字:5) LoginFormDiscovery(数字:6) 登录(数字:7) |
标量 | ||
MacroFile | 将用于身份验证的宏文件。请注意,仅当类型值设置为时才使用此参数宏 . |
对象 | |||||
ScopeConstraintList | 登录爬虫的作用域约束列表,用于确定允许登录爬虫对站点的哪个部分进行爬网。请注意,此参数仅在类型值设置为时使用形式 . |
列表 |
AssumeSuccessfulLogin
当用户可以在浏览器中看到InsightAppSec已登录且不希望创建检测登录状态的正则表达式时,此参数通常与宏登录一起使用。
VerifyNotLoggedin
如果在扫描过程中在响应中检测到假阳性注销,InsightAppSec将尝试重新登录到完全有效的会话。该参数用于配置InsightAppSec在这种情况下的行为。如果该参数的值为1
, InsightAppSec首先检查用户是否已经登录,然后才开始登录进程。如果设置为0
, InsightAppSec将重置会话。
这个页面对你有帮助吗?