在目标Web应用程序上配置扫描身份验证

在细粒度级别上扫描Web应用程序尤其重要,因为公开可访问的互联网主机是很有吸引力的攻击目标。通过提供带有身份验证的内部访问扫描,您可以检查Web资产的关键漏洞,如SQL注入和跨站点脚本。

Web应用程序有两种认证方法:

  • 网站表单验证:许多Web身份验证应用程序要求用户使用表单登录。使用此方法,Security Console从Web应用程序检索登录表单。您可以以Web应用程序接受的形式指定凭据。然后,扫描引擎在扫描网站之前将这些凭据提交给网站。看到为Web站点表单身份验证创建登录.在某些情况下,可能无法使用表单。例如,表单可能使用验证码测试或类似的挑战,这些挑战旨在阻止计算机程序登录。或者,表单可能使用JavaScript,但出于安全原因不支持JavaScript。如果这些情况适用于您的Web应用程序,那么您可以使用以下方法对应用程序进行身份验证。

  • 网站会话验证:扫描引擎从登录页面向目标Web服务器发送一个身份验证请求,该请求包括HTTP头(通常是会话cookie头)。看到使用HTTP头为Web站点会话身份验证创建登录

所使用的身份验证方法取决于所使用的Web服务器和身份验证应用程序。为了确定哪种方法效果更好,可能需要反复试验。建议在使用此功能之前咨询Web站点的开发人员。

对于使用基本身份验证或集成Windows身份验证(NTLM)挑战用户的HTTP服务器,使用所调用的服务配置一组扫描凭据网站HTTP认证.要使用此服务,请选择添加凭证然后账户身份验证选项卡。看到配置特定于站点的扫描凭据