扫描具有复杂访问机制的网站漏洞

场景说明

如果您的网站“www.example.com”除了需要账号密码登录，还有其他的访问机制（例如，需要输入动态验证码），请您设置“cookie登录”方式进行网站漏洞扫描，以便CodeArts Inspector能为您发现更多安全问题。

在添加域名并完成域名认证后，请您参照本文档对具有复杂访问机制的网站（“www.example.com”）进行漏洞扫描，操作流程如下：

①获取网站的cookie值 → ②设置网站“cookie登录”方式 → ③创建扫描任务 → ④查看扫描结果并下载扫描报告

前提条件

已添加域名并完成域名认证。有关添加域名和域名认证的详细操作，请参见添加域名完成。

步骤1：获取网站的cookie值

为了确保获取的cookie值有效，请您在获取cookie值后保持网页的登录状态，再执行步骤2：设置网站cookie登录方式～步骤4：查看扫描结果并下载扫描报告。

以Google Chrome浏览器为例说明，获取网站的cookie值的步骤如下：

1. 打开Google Chrome浏览器。
2. 按“F12”，进入浏览器的开发者模式。
3. 在地址栏中输入目标网站地址“www.example.com”。
4. 在调试页面中，选择“Network > XHR” ，如图1所示。
   图1 Network页面
   

5. 在左侧导航树中，选择一个http请求。
6. 在“Headers”页面的“Request Headers”区域框，获取当前网站页面的“Cookie”字段值，如图2所示。
   图2 获取cookie值
   

步骤2：设置网站“cookie登录”方式

请参照以下操作步骤设置“cookie登录”方式。

1. 登录管理控制台。
2. 进入网站登录设置入口，如图3所示。
   图3 进入网站登录设置入口
   

3. 在弹出的“编辑”对话框中，将图2中网站的cookie值完整复制到“cookie值”文本框中，如图4所示。
   图4 设置cookie登录方式
   

4. 在“验证登录网址”文本框中输入用于验证登录的网址。

   输入登录成功后才能访问的网址，便于漏洞管理服务快速判断您的登录信息是否有效。

5. 单击“确认”，完成网站登录设置。

步骤3：创建扫描任务

创建扫描任务时，请您保持网站的登录状态，以免cookie失效。

1. 在该域名所在行的“操作”列，单击“扫描”。
2. 在“创建任务”界面，根据扫描需求，设置扫描参数，如图5所示。

   关于扫描项的详细介绍，请参见创建扫描任务。

   图5 创建扫描任务
   

3. 设置完成后，单击“确认”，进入扫描任务页面。

   创建扫描任务后，会先进入“排队中”状态，满足运行条件后任务状态变为“进行中”。

   

   当网站列表中有“扫描状态”为“排队中”或“进行中”的任务时，可以单击网站列表上方的“批量取消”，在弹出的窗口中勾选需要取消扫描操作的网站进行批量取消。

步骤4：查看扫描结果并下载扫描报告

扫描任务执行成功后，您可以查看扫描结果并下载扫描报告。

1. 在目标网站所在行的“安全等级”列，单击“查看报告”，进入扫描任务详情页面，如图6所示。
   图6 查看扫描任务详情
   

2. 单击“生成报告”，弹出“生成报告配置”窗口。

   扫描报告仅支持专业版及以上版本扫描任务下载，请升级到专业版及以上版本体验。

   图7 生成扫描报告
   
   

   生成的扫描报告会在24小时后过期。过期后，若需要下载扫描报告，请再次单击“生成报告”，重新生成扫描报告。

3. （可选）修改“报告名称”。
4. 单击“确定”，弹出前往报告中心下载报告的提示框。
5. 单击“确定”，进入“报告中心”页面。
6. 单击生成报告所在行的“下载”，可将报告下载到本地。