Acunetix如何配置目标

配置目标

目标是您要使用Acunetix扫描的网站和Web应用程序。在Acunetix Online中,您还可以将网络资产配置为目标。必须先在Acunetix中对其进行配置,然后才能对其进行扫描。配置完成后,可以根据需要多次扫描目标。

转到“目标”页面以配置要扫描的新网站:

  1. 从边栏中的“目标”下拉列表中,选择“添加目标”。

  1. 提供要扫描的资产的地址
  2. (可选)输入简短的描述,使您可以轻松识别此目标。
  3. 完成后,单击“保存”按钮。
  4. 您将被带到目标的选项,可以在需要时配置其他选项。

目标群体

可以对目标进行分组以简化管理。例如,从“漏洞”页面中,您可以筛选一个目标组的漏洞,或者在“扫描”页面中,可以筛选特定目标组的扫描,还可以授予用户帐户访问特定目标组的权限。

首先,您需要创建目标组,然后,您可以为目标组配置目标组成员身份。

验证扫描目标所有权(仅适用于Acunetix Online)

创建新的目标后,将要求您验证目标的所有权。目标验证将取决于您打算针对目标启动的扫描类型。

总之,在扫描开始之前,Web漏洞扫描要求一个唯一的验证文件在Web服务器的根目录中展示。这是您要对其进行网络扫描的所有目标所必需的操作。

网络漏洞扫描要求我们验证您的帐户详细信息,这是一次性过程。

网络扫描验证

Web扫描验证是一个三步过程。

  1. 下载分配给新目标的唯一验证文件。
  2. 将验证文件上传到站点的根目录(例如,使用FTP)。
  3. 从Acunetix Online中目标的配置中,单击“验证扫描目标”以完成验证过程。

注意:验证文件必须保留在站点的根目录中,因为Acunetix Online每次扫描服务器时都会检查该验证文件。

网络扫描验证

  1. 对于网络扫描,您将需要验证您的帐户详细信息正确无误,并要求Acunetix代表对您的帐户进行验证。
  2. 打开“网络扫描验证”之后,在扫描目标的配置中,单击“继续验证我的详细信息”,或者您可以直接转到“帐户设置”>“配置文件”。
  3. 确认您的帐户详细信息正确无误,然后根据需要进行更新。

    屏幕截图-验证帐户详细信息
  4. 在“帐户验证”部分中,您可以请求验证您的帐户详细信息。
  5. 您将立即收到一个自动拨打到指定电话号码的电话,并且将获得一次代码。您需要在帐户验证过程中将此代码输入Acunetix。
  6. Acunetix代表可能会在24小时内与您联系以完成验证。
  7. 验证帐户详细信息后,您可以对所有扫描目标启动网络漏洞扫描。

配置网站登录

您可能需要扫描在Acunetix中配置为目标的Web应用程序中的受限区域。可以从目标配置的“常规设置”中的“站点登录”选项中配置用于访问限制区域的信息。

自动登录

在大多数情况下,您可以选择让Acunetix尝试自动登录到站点。这将适用于大多数使用简单登录过程的Web应用程序。您需要提供用户名和密码才能访问限制区域。扫描程序将自动检测登录链接,注销链接以及用于使会话保持活动状态的机制。

使用登录序列记录器

对于可能使用更复杂的登录机制的Web应用程序,您将需要启动Login Sequence Recorder并记录一个登录序列(*.lsr文件),然后可以将其上传并保存为Target设置。

登录序列用于在爬网和扫描阶段执行以下任务:

  • 访问基于表单的密码保护区
  • 重播登录操作以对网站或Web应用程序进行身份验证
  • 限制搜寻器和扫描器可以访问的操作(例如注销链接)
  • 标记每次需要手动干预的操作,例如带有验证码,一次性密码和两因素身份验证的页面。

可以按照以下步骤创建新的登录序列。

  • 从左侧菜单导航到“目标”部分
  • 选择您要为其记录登录序列的目标
  • 启用“站点登录”面板,然后选择“使用预先记录的登录顺序”
  • 通过单击“新建”链接来启动LSR。

默认情况下,LSR将浏览到您要为其配置登录序列的目标URL。

首先,您浏览到登录页面,然后执行成功的登录。请记住正确使用和有效的凭据。记录每个动作后,右侧面板将开始填充登录动作。由于LSR记录的是动作而不是HTTP请求,因此它还可以与使用反CSRF令牌的Web应用程序一起使用。

登录后,您可能希望重播这些操作,以确保登录顺序有效并成功登录。这可以通过单击屏幕左下方的“播放”来完成。

右侧窗格显示已记录的操作的列表。单击特定动作将在屏幕右下方显示“动作属性”。单击下一步以记录限制。

手动干预

某些登录页面在完成“登录”过程之前需要执行其他步骤——例如:验证码,双因素身份验证(2FA)或多因素身份验证(MFA)以及其他一次性密码(OTP)机制。在记录登录顺序时,您会遇到需要手动干预以执行无法自动化的步骤的情况。遇到这一点时,请选择“手动”选项。

LSR将对此进行跟踪;当您执行扫描时,Acunetix将暂停并提示您进行手动干预以及显示弹出通知。

完成手动干预操作后,请选择每个多余的操作,然后单击“删除”,以确保删除LSR创建的属于手动干预过程的任何操作。 点击(删除)图标。
然后,您可以简单地继续记录剩余的登录序列操作。

记录限制

限制指示“爬虫程序和扫描程序”在扫描过程中不需要遵循特定的链接。通常,您可能希望通过限制注销链接或其他可能破坏有效会话的链接,以确保扫描程序不会在扫描期间注销。除了标准的GET和POST请求外,LSR还支持对RESTful Web服务中常用的HTTP方法(例如PATCH,PUT,DELETE)的限制。

如果您要限制的链接包含随机数或一次性令牌,则可以使用通配符(* )来限制值更改的链接。可以按照以下步骤设置限制。

  • 单击您希望限制的链接。
  • 单击链接后,将弹出一个对话框,询问您是否希望想要Acunetix
    • 拦截此请求(以其确切形式或使用通配符)
    • 转发与此请求匹配的请求
    • 转发所有请求,这意味着将没有任何限制
    • 在此示例中,我们不需要对限制进行任何修改,因此我们可以选择第一个选项——使用完全匹配的限制请求
  • 限制将被记录,并显示在右侧面板中。您可以根据需要添加任意数量的限制。

识别有效的身份验证会话

在最后一步,LSR将尝试自动识别有效的会话。必须使用会话模式,这样扫描程序才能知道无效(注销)会话与有效(登录)会话之间的区别。如果扫描程序能够知道会话已经无效,则可以重播登录序列并再次验证会话。

通过比较Web应用程序的登录和注销状态来完成此操作。在某些情况下,无法自动识别差异。在这种情况下,您将需要通过导航到页面并让LSR识别模式来配置它,或者也可以手动完成。除了依赖Cookie的身份验证机制外,LSR还支持依赖HTML5 LocalStorage的身份验证机制。

您可以在导航时标识有效的身份验证会话:

  • 这可以通过浏览网站的身份验证区域来完成,该区域将根据登录或注销的用户返回不同的响应。
  • 例如,如果用户登录,则来自网站的响应将包含文本“注销”。如果未在响应中找到该用户,则该用户未登录。

或手动:

  • 可以通过选择正在发送的请求和返回的模式来手动配置会话验证。

通过单击右侧面板顶部的“检查模式”,可以验证会话模式。

单击完成后,将返回到“目标信息”页面。单击“保存”按钮,将已保存的登录序列文件上传到“目标信息”页面上。

OAuth登录

Acunetix支持OAuth2身份验证机制,允许您为需要OAuth2的Web应用程序配置目标。

支持的赠款类型为:

  • 授权码

  • 隐含的

  • 客户凭证

  • 密码凭证

    还支持需要三段式序列的OAuth2身份验证流程,例如填写用户名和/或密码字段,或者需要单击“确认”或“允许”按钮。

使用业务逻辑记录器

当今,许多Web应用程序都利用动态扩展,多步骤或多页面的形式。这意味着向用户呈现“第一阶段”表单,并且当用户将信息插入此第一阶段时,此信息将确定在下一步或页面中如何更改表单。

我们经常在航空旅行网络应用程序和高度互动的购物车中看到这些类型的表格,这只是两个示例。现实情况是,这些多步骤表单正在变得越来越普遍,并且Business Logic Recorder提供了必要的工具来创建一系列操作,供扫描程序遵循以正确导航多部分表单。

生成并安装AcuSensor

AcuSensor能够识别您网站上的所有页面,从而改善了Acunetix提供的扫描结果,增加了有关检测到的漏洞的信息并减少了误报。检查相关部分,以获取有关将AcuSensor部署到目标Web应用程序中的更多详细信息。

重设AcuSensor密码

如果出于某些原因您希望使AcuSensor代理的内置密码无效,则需要编辑目标,展开“高级”部分,滚动到目标信息页面的底部,然后单击“重置AcuSensor密码” “按钮; 现在,用于目标的新AcuSensor代理将包含一个新的独特的内置强密码——这意味着您需要在开始新扫描之前将AcuSensor代理重新部署到目标Web应用程序。

其他高级选项

对于每个目标,您可以配置其他选项,包括:

  • 搜寻选项,例如使用自定义User-Agent
  • 扫描特定目标时要排除的路径
  • HTTP认证
  • 客户证书
  • 自定义标题
  • 自定义Cookie
  • 允许的主机列表,在扫描特定目标时将被扫描。注意,这些需要事先预先配置为单独的目标。
  • 排除时间资料

本文章首发在 网安wangan.com 网站上。

上一篇 下一篇
讨论数量: 0
只看当前版本


暂无话题~