VSS漏洞扫描服务如何扫描具有复杂访问机制的网站漏洞
背景说明
如果我们的网站在登录的时候除了需要账号密码,还需要其他的访问机制(比如需要输入动态验证码),那么我们需要在添加域名并完成域名认证后,设置“cookie登录”的方式来进行扫描,这样可以让VSS服务帮助我们发现更多的安全问题。
操作流程如下:1、获取网站的cookie值;2、设置网站“cookie登录”方式;3、创建扫描任务;4、查看扫描结果并下载扫描报告。
1、获取网站的cookie值
这里以Google Chrome浏览器为例说明,获取网站的cookie值的步骤如下:
在Google Chrome浏览器中,按“F12”按钮,进入浏览器的开发者模式:
在地址栏中输入目标网站地址“www.example.com”,之后在调试页面中,选择“Network > Fetch/XHR”:
在左侧导航树中,选择一个http请求,在“Headers”页面的“Request Headers”区域框,获取当前网站页面的“Cookie”字段值:
2、设置网站“cookie登录”方式
登录华为云管理控制台,进入VSS漏洞扫描服务:
找到资产列表-网站,点击具体网站的编辑按钮:
在弹出的“编辑”对话框中,将图2中网站的cookie值完整复制到“cookie值”文本框中;在“验证登录网址”文本框中输入用于验证登录的网址(输入登录成功后才能访问的网址,便于VSS快速判断您的登录信息是否有效):
勾选“我已阅读并同意《华为云漏洞扫描服务声明》”,单击“确定”,完成网站登录设置。
3、创建扫描任务
在该域名所在行的“操作”列,单击“扫描”:
在“创建任务”界面,根据扫描需求,设置扫描参数(具体设置可以参考我先前文章“漏洞扫描服务VSS如何进行网站和主机的扫描”);单击“开始扫描”。
4、查看扫描结果并下载扫描报告
扫描任务执行成功(域名的“上一次扫描结果”状态为“已完成”),我们就可以查看扫描结果并下载扫描报告。在该域名所在行的“上一次扫描结果”列,单击扫描得分;在扫描任务详情界面,查看扫描结果;单击右上角的“下载报告”按钮,将网站扫描报告下载到本地,查看详细的扫描结果。
参考链接
- 点赞
- 收藏
- 关注作者
评论(0)