VSS漏洞扫描服务如何扫描具有复杂访问机制的网站漏洞

举报
gentle_zhou 发表于 2022/11/29 20:40:56 2022/11/29
【摘要】 操作流程如下:1、获取网站的cookie值;2、设置网站“cookie登录”方式;3、创建扫描任务;4、查看扫描结果并下载扫描报告。

背景说明

如果我们的网站在登录的时候除了需要账号密码,还需要其他的访问机制(比如需要输入动态验证码),那么我们需要在添加域名并完成域名认证后,设置“cookie登录”的方式来进行扫描,这样可以让VSS服务帮助我们发现更多的安全问题。

操作流程如下:1、获取网站的cookie值;2、设置网站“cookie登录”方式;3、创建扫描任务;4、查看扫描结果并下载扫描报告。

1、获取网站的cookie值

这里以Google Chrome浏览器为例说明,获取网站的cookie值的步骤如下:
在Google Chrome浏览器中,按“F12”按钮,进入浏览器的开发者模式:
image.png

在地址栏中输入目标网站地址“www.example.com”,之后在调试页面中,选择“Network > Fetch/XHR”:
image.png

在左侧导航树中,选择一个http请求,在“Headers”页面的“Request Headers”区域框,获取当前网站页面的“Cookie”字段值:
image.png

2、设置网站“cookie登录”方式

登录华为云管理控制台,进入VSS漏洞扫描服务:
image.png

找到资产列表-网站,点击具体网站的编辑按钮:
image.png

在弹出的“编辑”对话框中,将图2中网站的cookie值完整复制到“cookie值”文本框中;在“验证登录网址”文本框中输入用于验证登录的网址(输入登录成功后才能访问的网址,便于VSS快速判断您的登录信息是否有效):
image.png

勾选“我已阅读并同意《华为云漏洞扫描服务声明》”,单击“确定”,完成网站登录设置。

3、创建扫描任务

在该域名所在行的“操作”列,单击“扫描”:
image.png

在“创建任务”界面,根据扫描需求,设置扫描参数(具体设置可以参考我先前文章“漏洞扫描服务VSS如何进行网站和主机的扫描”);单击“开始扫描”。

4、查看扫描结果并下载扫描报告

扫描任务执行成功(域名的“上一次扫描结果”状态为“已完成”),我们就可以查看扫描结果并下载扫描报告。在该域名所在行的“上一次扫描结果”列,单击扫描得分;在扫描任务详情界面,查看扫描结果;单击右上角的“下载报告”按钮,将网站扫描报告下载到本地,查看详细的扫描结果。

参考链接

  1. https://support.huaweicloud.com/bestpractice-vss/vss_06_0003.html#section0
【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。