配置网站登录信息
操作场景
该任务指导用户通过漏洞管理服务进行网站登录设置,修改网站信息。
如果您的网站页面需要登录才能访问,必须进行网站登录设置,以便漏洞管理服务能为您发现更多安全问题。漏洞管理服务提供了三种登录方式,请您根据您的网站访问限制条件选择登录方式:
- Web页面登录。
- Cookie登录。
建议优先配置“Web页面登录”方式。如果发现通过“Web页面登录”仅能扫描到登录界面,无法成功扫描到内部业务系统时,可以根据业务实际认证方式配置“Cookie登录”进行扫描。
- Header登录。
建议优先配置“Web页面登录”方式。如果发现通过“Web页面登录”仅能扫描到登录界面,无法成功扫描到内部业务系统时,可以根据业务实际认证方式配置“Header登录”进行扫描。
以上登录方式根据网站访问情况选择。
前提条件
- 已获取管理控制台的登录账号与密码。
- 已添加网站。
操作步骤
- 登录管理控制台。
- 在左侧导航树中,单击
,选择“开发与运维 > 漏洞管理服务”,进入漏洞管理服务管理界面。 - 在“资产列表 > 网站”页签,单击对应的网站信“操作”列的“编辑”,页面右侧弹出“配置网站登录信息”窗口。
- 根据需要修改网站登录信息,如图1所示,漏洞管理服务提供了“Web页面登录”、“Cookie登录”和“Header登录”三种登录方式,三种登录方式的开关默认为关闭。请按照业务认证逻辑,启用对应配置,参数说明如表1所示。
表1 配置网站登录信息参数说明 参数名称
参数说明
样例
网站信息
网站地址
漏洞管理服务不支持修改“网站地址”,如需修改,请删除该网站后,再重新创建新的网站。
http://www.domain.com
网站名称
自定义的网站名称,可修改。
test
Web页面登录
登录页面
网站登录页面的地址。
https://auth.example.com/
用户名
登录网站的用户名。
test01
密码
对应用户名的密码。
--
确认密码
再次输入用户名的密码。
--
Cookie登录
当配置的“Web页面登录”无法成功登录进业务系统时,可以尝试通过配置原始Cookie的方式进行扫描。
cookie值
输入登录网站的cookie值。
若没有cookie,请在“Header登录”中,通过添加自定义Header的方式进行登录扫描。
有关获取登录网站的cookie值的详细操作,请参见如何获取网站cookie值?
domain_tag
Header登录
自定义Header
配置HTTP请求头部。最多可添加5个自定义HTTP请求头。
当待扫描的网站需要请求中附带特殊的HTTP请求头时,可以通过自定义Header进行设置。
HTTP请求头常见的如:带有Token或Session字样。
--
网站登录验证
验证登录网址
登录成功后才能访问的网址,便于漏洞管理服务快速判断您的登录信息是否有效。
https://console.example.com/
- 单击“确认”,网站登录信息配置成功。
