在[安全评估]模块,点击评估功能栏中的[WEB漏洞扫描]进入到WEB漏洞扫描的评估页面,如下图所示。
Web漏洞扫描,包括:SQL注入、XSS、敏感信息泄露等web应用漏洞扫描,此外还可以选择专项漏洞进行单独评估,如Apache Shiro组件安全漏洞、JBoss反序列化漏洞、Apache Struts2远程代码执行系列漏洞、Weblogic反序列化专项漏洞、Jenkins Java反序列化远程代码执行漏洞、Host头攻击漏洞、phpstudy 后门发现漏洞、Jenkins Git client插件命令执行漏洞、致远 OA A8 无需认证 Getshell 漏洞、Jenkins Java反序列化远程代码执行漏洞、JBoss反序列化漏洞等。
步骤1.在评估功能[WEB漏洞扫描]页面上,点击功能栏<新建任务>跳转WEB漏洞扫描的任务配置页面,如下图所示。
步骤2 选择扫描模式,扫描模式有[基础扫描]和[专项漏洞扫描]两种,说明如下表所示。
表8分类说明表
|
WEB漏洞扫描类型 |
说明 |
|
基础扫描 |
基础扫描是指对web业务进行SQL注入、XSS、敏感信息泄露等web应用漏洞扫描(通用型扫描,不包含弱密码检测,可以点击模版右边的模版名称查看具体的模版包含漏洞数量以及名称)。 |
|
专项漏洞扫描 |
专项漏洞扫描是指对WEB只进行特定漏洞评估(此类漏洞危害较大),具有专项检测能力,如果只需要针对业务评估某一类型的WEB漏洞,可以使用专项漏洞扫描来满足评估需求。 专项漏洞下发时,可以选择指定端口扫描,当输入指定端口时,会只进行指定端口进行漏洞扫描。 |
步骤2. 选择好扫描模式后进入WEB漏洞扫描漏洞任务配置页面,3.0.12版本web漏洞扫描区分登录扫描以及非登录扫描,登录扫描可能会导致数据删除、数据篡改、插入脏数据等情况,在极端情况下甚至会导致服务不可用,请在扫描前提前告知目标站点客户并征得同意后再进行,如下图所示。
步骤3.配置WEB扫描漏洞任务的常规信息
|
常规参数 |
说明 |
|
加载已有配置 |
【可选操作】如果之前做过系统漏洞扫描,可以快速选取历史配置信息 |
|
登录扫描 |
新增登录后扫描功能,可以用于发现登录后的web漏洞,登录扫描的登录模式支持自动登录、手动登录以及登录cookie三种。 |
|
导入资产发现列表 |
【可选操作】如果做过资产发现任务并且有资产识别出来的IP资产结果,可以直接导入到扫描目标中。 |
|
导入已登记资产 |
【可选操作】对于在资产管理中已登记的资产可以直接添加,和是否进行过扫描任务没关系。 |
|
扫描目标 |
【必选操作】支持通过如下方式配置扫描目标设备,最多可输入 10000 个字符进行输入,同时需要满足以下格式要求: 资产之间支持分号、逗号、换行符分割; URL仅支持http或者https开头,长度限制在255个字符; 例如: http://a.com;https//json.cn/index.html;https://www.json.cn/index.html |
|
导入 |
【可选操作】支持下载execl模板,填入资产目标信息后批量导入 |
|
任务名称 |
【必选操作】本次任务的名称,长度2-100个字符之间 |
|
模板选择(基础扫描配置项) |
【必选操作】当前扫描任务对应的漏洞扫描类型,默认模板为“web漏洞”,根据需求自行调整。模板类型参考6.2 WEB漏洞模板 |
|
扫描模式 |
支持智能扫描以及深度扫描,默认选项为智能扫描。 |
|
生成报告 |
【必选操作】默认不生成报告,可以手动点选生成报告。 |
|
发送报告 |
【可选操作】允许通过FTP或者邮箱发送报告。 |
|
执行方式 |
【必选操作】选择两种执行方式供之一: A:立即执行:提交任务后立即进入执行状态 B:指定时间执行:选择指定的时间点执行任务,精确到分钟。 C:周期执行:开启后,系统将定期按照任务扫描参数发起扫描,当到达扫描周期但是上次扫描未结束时,本次周期检测将被跳过; 按月执行时,如果当月没有此日,则在月末执行,如:选择每月31日执行,4月没有31日,则在30日执行; 请尽量对小批量扫描目标开启周期检测,避免单任务扫描时间过长,影响后续周期扫描时间。 |
|
任务说明 |
【可选操作】任务备注说明 |
周期扫描中从3.0.16版本开始新增扫描时间段选项,系统将在指定的时间段内进行扫描,超出扫描时间段仍未完成的任务将自动暂停,第二天继续扫描。
高级配置中各项参数说明如下表所示。
表9高级参数说明表
|
高级参数(基础扫描配置项) |
说明 |
|
fuzz测试 |
【可选操作】开启fuzz测试会爬取URL的信息,可能会导致客户业务受影响,并且扫描时间会比较长。 |
|
Web访问策略 |
【可选操作】,fuzz开启后可以配置 A:并发线程数:fuzz扫描时云镜后台开启的线程数量,可以自行配置10-50之间,可以根据硬件配置相应数值,8G 6C默认配置30。 B:超时限制:发送单个请求包超时限制,默认为10秒 C:自定义User-Agent:扫描发包所使用的User-Agent值,未设置时,将使用系统内置值 D:自定义Header:用于自定义扫描发包时的HTTP头信息,一般用于HTTP头部需要携带某些特殊字段才可以访问系统时使用 |
|
Web爬行策略 |
【可选操作】,fuzz开启后可以配置 A:目录深度:限制扫描器扫描网站目录的深度,默认8。 B:链接总数:限制扫描链接的总个数,默认-1表示最大个数 |
步骤4.点击<提交>,自动跳转到任务列表界面,完成系统WEB漏洞扫描任务的创建。
5.1.5.1.Web扫描登录模式介绍
总共支持三种模式,分别是自动登录、手动登录、cookie登录。自动登录模式是指没有验证码等多因素认证情况下,登录过程可以通过“回放”按钮回放成功的模式;手动登录模式是指存在验证码等验证操作,导致无法通过“回放”按钮回放成功的模式;登录cookie是指将登录成功的cookie复制到登录信息中直接使用的情况。其中自动登录操作步骤如下所示
在安全评估导航栏,Web漏洞扫描中基础扫描页面,输入扫描目标后,登录模式默认为自动登录,点击登录信息后的[去添加]按钮
浏览器页面会自动跳转至登录信息录入页面,根据对应扫描目标展示的登录页填写账号密码后点击登录按钮,登录成功之后,点击回放按钮,确保登录步骤正确后,点击保存按钮。后续扫描该目标,默认调用之前录入好的登录信息,也可以删除登录信息重新录制。
手动登录、cookie登录操作步骤相比自动登录较为简单,手册中就不一一展示如何进行配置。根据产品对应页面提示配置登录信息。
建议使用Chrome浏览器访问!
