[安全能力配置/弱密码配置]主要面对[资产中心/脆弱性感知/弱密码]功能模块，如下图所示。

弱密码配置主要包括：“登录入口自定义”、“弱密码自定义”、“WEB登录结果自定义”这三个类规则，满足所有规则即生成脆弱性事件。

登录入口自定义

在[弱密码配置/登录入口自定义]页面，点击<新增>如下图所示。

其中：

• 规则名称：自定义，不限于数字或者字母；

• 规则描述：自定义描述部分；

• 账号字段：请求头或者请求体中账号字段名称，具体可以和web应用运维侧进行确认；

• 密码字段：请求头或者请求体中账号字段名称，具体可以和web应用运维侧进行确认；

点击<查看>可以直观解释，如下图所示。

登录入口自定义之后的弱密码列表，会被STA定期拉取并同步到STA侧[对象定义/自定义规则库/自定义登录规则库]页面，如下图所示。

弱密码自定义

弱密码自定义分为：默认规则和自定义规则，内置规则对所有应用 (web类和非web类)的识别和检测，默认规则默认不可编辑、修改和删除，如下图所示。

点击<新增>按钮，进入到自定义弱密码规则选项，自定义弱密码规则主要面向web类应用，需要指定生效域名、规则配置、账号白名单、密码白名单、自定义弱密码等内容，如下图所示。

其中：

• 规则名称：自定义弱密码规则名称；

• 生效域名：需说明该规则适用的域名/URL，例如： http://xxx:80/a/b/c?1=1
其中，http:// 属于该流量的请求协议，xxx 属于主机地址可以是域名或主机名或IP，:号连接的80属于端口，/a/b/c属于资源路径 ，?号连接的 1=1 属于参数
规则需要配置的是域名的内容，可以参考请求流量中的host取值进行配置

• 规则配置：包括密码最小长度、字符种类数和位数、字典序、账号密码相同的情况、web空密码等；

• 账号白名单：假如通过产品侧分析得到的弱密码，不符合客户的业务场景/实际现状，可以自定义白名单，从而不会生成脆弱性事件。

• 弱密码内容：数量少的情况下，可以直接在空白处填写，可支持以txt格式导入，点击<导入文件>，如下图所示。

WEB登录结果自定义

WEB登录结果分为登陆成功规则和登录失败规则，主要应用在SIP在客户实际网络中识别到的web登陆成功和登录失败信息与业务的真实情况存在偏差，以此来进行手动矫正，主要依据http协议中成功和重定向两类状态码，通过匹配登陆成功的内容、服务器IP地址等进行，如下图所示。