VSS漏洞扫描服务如何扫描具有复杂访问机制的网站漏洞

背景说明

如果我们的网站在登录的时候除了需要账号密码，还需要其他的访问机制（比如需要输入动态验证码），那么我们需要在添加域名并完成域名认证后，设置“cookie登录”的方式来进行扫描，这样可以让VSS服务帮助我们发现更多的安全问题。

操作流程如下：1、获取网站的cookie值；2、设置网站“cookie登录”方式；3、创建扫描任务；4、查看扫描结果并下载扫描报告。

1、获取网站的cookie值

这里以Google Chrome浏览器为例说明，获取网站的cookie值的步骤如下：
在Google Chrome浏览器中，按“F12”按钮，进入浏览器的开发者模式：

在地址栏中输入目标网站地址“www.example.com”，之后在调试页面中，选择“Network > Fetch/XHR”：

在左侧导航树中，选择一个http请求，在“Headers”页面的“Request Headers”区域框，获取当前网站页面的“Cookie”字段值：

2、设置网站“cookie登录”方式

登录华为云管理控制台，进入VSS漏洞扫描服务：

找到资产列表-网站，点击具体网站的编辑按钮：

在弹出的“编辑”对话框中，将图2中网站的cookie值完整复制到“cookie值”文本框中；在“验证登录网址”文本框中输入用于验证登录的网址（输入登录成功后才能访问的网址，便于VSS快速判断您的登录信息是否有效）：

勾选“我已阅读并同意《华为云漏洞扫描服务声明》”，单击“确定”，完成网站登录设置。

3、创建扫描任务

在该域名所在行的“操作”列，单击“扫描”：

在“创建任务”界面，根据扫描需求，设置扫描参数（具体设置可以参考我先前文章“漏洞扫描服务VSS如何进行网站和主机的扫描”）；单击“开始扫描”。

4、查看扫描结果并下载扫描报告

扫描任务执行成功（域名的“上一次扫描结果”状态为“已完成”），我们就可以查看扫描结果并下载扫描报告。在该域名所在行的“上一次扫描结果”列，单击扫描得分；在扫描任务详情界面，查看扫描结果；单击右上角的“下载报告”按钮，将网站扫描报告下载到本地，查看详细的扫描结果。

参考链接

1. https://support.huaweicloud.com/bestpractice-vss/vss_06_0003.html#section0