Acunetix如何记录登录序列
Acunetix awvs 漏洞扫描 配置目标 目标是您要使用 Acunetix 扫描的网站和 Web 应用程序。在 Acunetix Online 中,您还可以将网络资产配置为目标。这些需要在 Acunetix 中配置,然后才能被扫描。配置后,可以根据需要经常扫描目标。
添加目标 转到“添加目标”页面以配置要扫描的新网站: 从侧边栏中的目标下拉菜单中,选择“添加目标” 对于您希望添加的每个目标: 提供要扫描的资产地址 或者,输入一个简短的描述,以便您轻松识别此目标 如果您需要添加另一个目标,请单击添加另一个目标按钮 完成后点击“保存”按钮 继续为新目标配置任何其他设置
使用 CSV 文件导入目标 如果您的目标已在另一个应用程序中配置,例如资产管理应用程序,您可能希望从第 3 方应用程序导出目标并将它们导入 Acunetix。这将节省目标配置时间。您可以使用 .csv 文件将多个目标导入 Acunetix。进行如下操作: 浏览到 Acunetix UI > 目标 > 添加目标
单击导入 CSV 按钮 选择要导入的 .csv 文件。该文件应具有以下格式: 地址、描述 例如 http://testphp.vulnweb.com、PhP 测试站点
单击导入 按钮 确认所有目标都已导入,然后继续为新目标配置任何其他设置。
目标群体 可以将目标分组以便于管理。例如,在漏洞页面中,您可以过滤一个目标组的漏洞,或者在扫描页面中,您可以过滤特定目标组的扫描。用户的帐户还可以访问特定的目标组。
您首先需要创建目标组,然后您可以为目标组配置目标组成员资格。
配置基本目标选项 您的目标的基本详细信息列在目标设置页面的顶部。
Acunetix awvs 漏洞扫描 业务重要性 您可以从默认标记Normal分配不同的业务重要性级别(Low、Normal、High、Critical)。这将使您有机会根据此指标过滤扫描和漏洞,从而使您能够在必要时专注于网络库存中更关键的项目。
默认扫描配置文件 每次对目标开始扫描时,您都可以指定要使用的扫描配置文件,默认扫描配置文件为Full Scan 。但是,您可以决定更改特定目标的默认扫描配置文件。例如,如果您认为您的目标之一是低业务严重性 目标,您可以将该目标的默认扫描配置文件设置为高风险 配置文件;进行此更改后,每次在此目标上启动扫描时,默认扫描配置文件都将设置为High Risk 。
扫描速度 您的目标可能会受到高速或高强度(同时请求)扫描的不利影响,或者可能触发使您的扫描结果无效的防御机制。您可以将扫描速度调整为以下之一:
快速(默认)——10 个并发请求,请求之间的零延迟 中等 — 5 个并发请求,请求之间的延迟为 250 毫秒 慢 — 2 个并发请求,请求之间的延迟为 250 毫秒 较慢 — 1 个并发请求,请求之间零延迟
连续扫描 您可以在目标上启用连续扫描,让 Acunetix 每天扫描目标并立即报告任何新漏洞。Web 开发人员对站点进行更新或管理员对 Web 服务器的配置进行更改可能会引入新的漏洞。此外,Acunetix 经常更新以检测新的漏洞。
连续扫描每周执行一次完整扫描。此扫描通过每日快速扫描得到增强,该扫描仅扫描关键漏洞。持续扫描会更新目标的漏洞,可以从漏洞页面访问这些漏洞。当发现新漏洞时,您将通过电子邮件和通知区域收到通知。
在目标上运行第一次扫描并确定并修复任何未解决的漏洞后,连续扫描选项功能可帮助您确保它们保持安全。
配置站点登录 您可能需要扫描在 Acunetix 中配置为目标的 Web 应用程序中的受限区域。用于访问受限区域的信息可以从目标配置中的常规设置中的站点登录选项进行配置。
自动登录 在大多数情况下,您可以选择让 Acunetix 尝试自动登录站点。这适用于大多数使用简单登录过程的 Web 应用程序。您需要提供用户名和密码才能访问限制区域。扫描器将自动检测登录链接、注销链接和用于保持会话处于活动状态的机制。
使用登录序列记录器 对于可能使用更复杂登录机制的更复杂的 Web 应用程序,您需要启动登录序列记录器并记录登录序列(*.lsr 文件),然后可以将其与目标设置一起上传和保存。
登录序列用于在抓取和扫描阶段执行以下任务:
访问基于表单的密码保护区 重播登录操作以对网站或 Web 应用程序进行身份验证 限制爬虫和扫描器可以访问的操作(例如注销链接) 标记每次访问时需要手动干预的操作,例如带有 CAPTCHA、一次性密码和双因素身份验证的页面。
可以按照以下步骤创建新的登录序列。
从左侧菜单导航到目标部分 选择您要为其记录登录序列的目标 启用“站点登录”面板,然后选择“使用预先录制的登录顺序” 单击“新建”链接启动 LSR
默认情况下,LSR 将浏览到您为其配置登录序列的目标 URL。
Acunetix awvs 漏洞扫描 您可以开始浏览登录页面并成功登录。请记住使用正确有效的凭据。对于记录的每个操作,右侧的面板将开始填充登录操作。由于 LSR 记录的是操作而不是 HTTP 请求,因此它也适用于使用反 CSRF 令牌的 Web 应用程序。
登录后,您可能希望重播操作以确保登录序列有效并成功登录。这可以通过单击屏幕左下角的播放来完成。
右侧窗格显示已记录的操作列表。单击特定操作将在屏幕右下方显示操作属性。单击下一步以记录限制。
人工干预
Acunetix 网上资料
在 Acunetix Online 中,此功能不可用。
一些登录页面需要额外的步骤才能完成“登录”过程 - 一些示例是 CAPTCHA、双因素身份验证 (2FA) 或多因素身份验证 (MFA) 以及其他一次性密码 (OTP) 机制。在记录登录序列时,您会遇到需要手动干预以执行无法自动执行的步骤的点。当你遇到这点时,选择“手动”选项。
Acunetix awvs 漏洞扫描 LSR 将对此进行跟踪;当您执行扫描时,Acunetix 将暂停并通过弹出通知提示您进行手动干预。
完成手动干预操作后,通过选择每个多余的操作,确保删除由 LSR 创建的属于手动干预过程的任何操作,并通过单击 (删除)图标。
现在您可以简单地继续记录剩余的登录序列操作。
录制限制 限制指示爬网程序和扫描程序在扫描期间不要访问特定链接。通常,您可能希望限制注销链接或其他可能破坏有效会话的链接,以确保扫描程序不会在扫描期间注销。除了标准的 GET 和 POST 请求之外,LSR 还支持对 RESTful Web 服务中常用的 HTTP 方法的限制,例如 PATCH、PUT、DELETE。
如果您限制的链接包含随机数或一次性标记,您可以使用通配符 (*) 来限制具有更改值的链接。可以按照以下步骤设置限制。
单击要限制的链接。 单击链接后,将弹出一个对话框,询问您是否希望 Acunetix 拦截此请求(以其确切形式或使用通配符) 转发与此请求匹配的此类请求 转发所有请求,意味着不会有任何限制 在这个例子中,我们不需要对 Restriction 做任何修改,因此我们可以选择第一个选项 - Restrict request using exact match 限制将被记录,并显示在右侧的面板中。您可以根据需要添加任意数量的限制。
识别有效的身份验证会话 在最后一步,LSR 将尝试自动识别有效会话。会话模式是必需的,以便扫描程序能够知道无效(注销)和有效(登录)会话之间的区别。如果扫描器能够知道会话已失效,它可以重播登录序列并再次验证会话。
这是通过比较 Web 应用程序的登录和注销状态来完成的。可能存在无法自动识别差异的情况。在这种情况下,您需要通过导航到页面来配置它并让 LSR 识别模式,或者也可以手动完成。除了依赖 cookie 的认证机制,LSR 还支持依赖 HTML5 LocalStorage 的认证机制。
Acunetix awvs 漏洞扫描 您可以在导航时识别有效的身份验证会话:
这可以通过浏览网站的经过身份验证的区域来完成,这些区域将根据登录或注销的用户返回不同的响应。 例如,如果用户已登录,则来自网站的响应将包含文本“注销”。如果在响应中未找到,则用户未登录。
手动配置用户会话模式 如果 Acunetix 仍然无法识别用户会话模式,则您必须手动配置一个。重要的一点是,Web 服务器发送的响应在登录用户的响应和未登录用户的响应之间会有所不同。您的任务是确定扫描器可用于验证是否或不是它登录到网站。
确定并配置会话模式后,可以通过单击右侧面板顶部的检查模式进行验证。
单击“完成”后,您将返回“目标信息”页面。单击“保存”按钮将这个保存的登录序列文件上传到目标信息页面。
会话模式验证有 3 个主要选项。
选项 1 :识别其中一个网页上的视觉差异——例如,某些网页将仅向登录用户显示“您的购物篮”链接;some 将显示登录用户的名称(如果没有用户登录,显然不会出现)。在这种情况下,您可以通过在 Session Validation Request 文本区域中输入类似的内容来指示 LSR 转到哪个页面:
获取 https://juice-shop.herokuapp.com/profile HTTP/1.1
...并将标记为“Session VALID if:”的下拉菜单设置为“pattern is found in response”到登录的特定文本或用户名:
选项 2 :识别登录网页中的 HTTP 响应标头与未登录版本相比的差异。您可以使用 Google Chrome 进行检查,例如,使用“检查”功能;“网络”选项卡将显示“响应标头”部分,其中可能包含诸如“X-Logged-In:true”之类的标头,但会不存在或具有不同的值,例如“X-Logged-In:false” :
现在,您可以将标有“Session VALID if:”到“pattern is found in headers”的下拉菜单设置为标识的标头值:
选项 3 :识别登录时接收数字响应(通常为 200)的网页,以及未登录时接收其他响应的网页,例如 404(未找到)或 500(服务器错误)。将标有“Session VALID if:”的下拉菜单设置为“status code is”为有效值:
OAuth登录 Acunetix 支持 OAuth2 身份验证机制,允许您为需要 OAuth2 的 Web 应用程序配置目标。可以按照以下步骤创建新的 OAuth 登录序列。
从左侧菜单导航到目标部分 选择您要为其记录登录序列的目标 启用“站点登录”面板,并选择“为此站点使用 OAuth”;这将公开配置字段
Acunetix awvs 漏洞扫描 将授予类型设置为 OAuth2 身份验证流机制之一;支持的资助类型是: 授权码 隐式 客户凭证 密码凭证 为身份验证提供程序设置“访问令牌 URL”和“授权 URL”(仅适用于“身份验证代码”授予类型);您可以从身份验证提供商(例如 Google 或 Facebook)获取 URL 为您的目标设置“重定向 URI”;这是用户在使用授权提供程序完成登录过程后将被重定向到的 URI 为您的目标设置“客户端 ID”和“客户端密码”字段;这些是当您向身份验证提供程序注册您的 Web 应用程序以获取其登录功能时,身份验证提供程序分配给您的 Web 应用程序的唯一值 某些 OAuth2 身份验证流程需要填充“状态”字段 将“范围”字段设置为请求权限的元素的空格分隔列表 某些 oAuth2 身份验证流程需要填写“用户名”和“密码”字段
Acunetix awvs 漏洞扫描 还支持需要 3 条腿序列的 OAuth2 身份验证流程,例如在单独的步骤中填写用户名和/或密码字段,或需要单击“确认”或“允许”按钮。单击“3-legged Sequence”按钮将启动登录序列记录器窗口以显示 OAuth2 身份验证提供程序的对话框。
完成登录序列后,窗口将自动关闭。
单击页面顶部的“保存”按钮以保存目标设置。
使用业务逻辑记录器 如今,许多 Web 应用程序使用动态扩展或多步骤或多页表单。这意味着向用户呈现“第一阶段”表单,当用户将信息插入第一阶段时,该信息将决定表单在下一步或页面中的变化方式。
我们经常在航空旅行网络应用程序和高度交互的购物车中看到这些类型的表单——这只是两个例子。现实情况是,这些多步骤表单正变得越来越普遍,而业务逻辑记录器提供了创建一系列操作所需的工具,以便扫描仪正确导航多部分表单。
生成和安装 AcuSensor Acunetix awvs 漏洞扫描 AcuSensor 能够识别您网站上的所有页面,从而改进 Acunetix 提供的扫描结果,增加有关检测到的漏洞的信息并减少误报。有关将 AcuSensor 部署到目标 Web 应用程序的更多详细信息,请查看相关部分。
重置 AcuSensor 令牌 如果出于某种原因,您希望更改 AcuSensor 代理的内置令牌(类似于唯一密钥或密码)(例如,使旧令牌无效,或对多个目标使用相同的 AcuSensor 代理文件) ,您将需要:
编辑目标
导航到AcuSensor 面板的下半部分 单击重置目标 按钮 现在,目标的新 AcuSensor 代理将包含一个新的独特的强大内置令牌 - 这意味着您需要在开始新扫描之前将 AcuSensor 代理重新部署到目标 Web 应用程序。
扫描易受攻击的软件组件 - SCA 软件组成分析(SCA)是应用程序安全测试的重要组成部分。当今的 Web 应用程序通过使用多个开源组件来提供丰富的功能。与所有软件一样,开源组件也存在漏洞,每个组件都有一个开发路径,通常用版本号进行跟踪。SCA 是分析应用程序的源代码以识别开源组件及其版本号,并将此列表与包含已知组件的主数据库进行比较的过程,该数据库具有版本号和漏洞暴露。
使用 SCA 功能扫描目标 Acunetix 为 SCA 服务器提供了开源组件的主数据库,作为 Acunetix 在线服务的一部分。在进行 SCA 分析之前,您必须确保为您的 Acunetix 安装启用了 Acunetix 在线服务;转到您的个人资料页面以检查:
当使用 Acunetix 扫描应用程序时,部署到应用程序的 AcuSensor 代理将分析应用程序,创建正在使用的组件清单,并将清单提交给 SCA 服务器进行比较。如果 SCA 服务器发现任何具有已知漏洞的组件,它将响应 Acunetix。
其他高级选项 对于每个目标,您可以配置其他选项,包括:
抓取选项,例如使用自定义用户代理 扫描特定目标时要排除的路径 HTTP 认证 客户证书 自定义标题 自定义 Cookie 允许的主机列表,在扫描特定目标时将扫描该列表。请注意,这些需要预先配置为单独的 Targets 每个目标的知识库,收集有关 URL、漏洞和其他信息的信息,这些信息是在目标上每次扫描时积累的 排除时间配置文件