文档首页 > > 最佳实践> 扫描具有复杂访问机制的网站漏洞

扫描具有复杂访问机制的网站漏洞

分享
更新时间: 2020/03/30 GMT+08:00

场景说明

如果您的网站“www.example.com”除了需要账号密码登录,还有其他的访问机制(例如,需要输入动态验证码),请您设置“cookie登录”方式进行网站漏洞扫描,以便VSS能为您发现更多安全问题。

在添加域名并完成域名认证后,请您参照本文档对具有复杂访问机制的网站(“www.example.com”)进行漏洞扫描,操作流程如下:

①获取网站的cookie值②设置网站“cookie登录”方式③创建扫描任务④查看扫描结果并下载扫描报告

前提条件

已添加域名并完成域名认证。有关添加域名和域名认证的详细操作,请参见添加域名并完成域名认证

步骤1:获取网站的cookie值

为了确保获取的cookie值有效,请您在获取cookie值后保持网页的登录状态,再执行步骤2:设置网站cookie登录方式步骤4:查看扫描结果并下载扫描报告

以Google Chrome浏览器为例说明,获取网站的cookie值的步骤如下:

  1. 打开Google Chrome浏览器。
  2. “F12”,进入浏览器的开发者模式。
  3. 在地址栏中输入目标网站地址“www.example.com”
  4. 在调试页面中,选择Network > XHR ,如图1所示。

    图1 Network页面

  5. 在左侧导航树中,选择一个http请求。
  6. “Headers”页面的“Request Headers”区域框,获取当前网站页面的“Cookie”字段值,如图2所示。

    图2 获取cookie值

步骤2:设置网站“cookie登录”方式

请参照以下操作步骤设置“cookie登录”方式。

  1. 登录管理控制台
  2. 进入网站登录设置入口,如图3所示。

    图3 进入网站登录设置入口

  3. 在弹出的“编辑”对话框中,将图2中网站的cookie值完整复制到“cookie值”文本框中,如图4所示。

    图4 设置cookie登录方式

  4. “验证登录网址”文本框中输入用于验证登录的网址。

    输入登录成功后才能访问的网址,便于VSS快速判断您的登录信息是否有效。

  5. 勾选“我已阅读并同意《华为云漏洞扫描服务声明》”,单击“确定”,完成网站登录设置。

步骤3:创建扫描任务

创建扫描任务时,请您保持网站的登录状态,以免cookie失效。

  1. 在该域名所在行的“操作”列,单击“扫描”,如图5所示。

    图5 创建扫描任务

  2. “创建任务”界面,根据扫描需求,设置扫描参数,如图6所示。

    关于扫描项的详细介绍,请参见创建扫描任务

    图6 扫描设置

  3. 单击“开始扫描”

    如果没有设置开始扫描时间,且此时服务器没有被占用,则创建的任务可立即开始扫描,任务状态为“进行中”;否则进入等待队列中等待,任务状态为“等待中”

步骤4:查看扫描结果并下载扫描报告

扫描任务执行成功(域名的“上一次扫描结果”状态为“已完成”),您可以查看扫描结果并下载扫描报告。

  1. 在该域名所在行的“上一次扫描结果”列,单击扫描得分。
  2. 在扫描任务详情界面,查看扫描结果,如图7所示。

    图7 查看扫描详情

  3. 单击右上角的,将网站扫描报告下载到本地,查看详细的扫描结果。

    报告目前只支持PDF格式。

分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

跳转到云社区