更新时间:2024-07-17
[安全能力配置/弱密码配置]主要面对[资产中心/脆弱性感知/弱密码]功能模块,如下图所示。
弱密码配置主要包括:“登录入口自定义”、“弱密码自定义”、“WEB登录结果自定义”这三个类规则,满足所有规则即生成脆弱性事件。
登录入口自定义
在[弱密码配置/登录入口自定义]页面,点击<新增>如下图所示。
其中:
• 规则名称:自定义,不限于数字或者字母;
• 规则描述:自定义描述部分;
• 账号字段:请求头或者请求体中账号字段名称,具体可以和web应用运维侧进行确认;
• 密码字段:请求头或者请求体中账号字段名称,具体可以和web应用运维侧进行确认;
点击<查看>可以直观解释,如下图所示。
登录入口自定义之后的弱密码列表,会被STA定期拉取并同步到STA侧[对象定义/自定义规则库/自定义登录规则库]页面,如下图所示。
弱密码自定义
弱密码自定义分为:默认规则和自定义规则,内置规则对所有应用 (web类和非web类)的识别和检测,默认规则默认不可编辑、修改和删除,如下图所示。
点击<新增>按钮,进入到自定义弱密码规则选项,自定义弱密码规则主要面向web类应用,需要指定生效域名、规则配置、账号白名单、密码白名单、自定义弱密码等内容,如下图所示。
其中:
• 规则名称:自定义弱密码规则名称;
• 生效域名:需说明该规则适用的域名/URL,例如: http://xxx:80/a/b/c?1=1
其中,http:// 属于该流量的请求协议,xxx 属于主机地址可以是域名或主机名或IP,:号连接的80属于端口,/a/b/c属于资源路径 ,?号连接的 1=1 属于参数
规则需要配置的是域名的内容,可以参考请求流量中的host取值进行配置
• 规则配置:包括密码最小长度、字符种类数和位数、字典序、账号密码相同的情况、web空密码等;
• 账号白名单:假如通过产品侧分析得到的弱密码,不符合客户的业务场景/实际现状,可以自定义白名单,从而不会生成脆弱性事件。
• 弱密码内容:数量少的情况下,可以直接在空白处填写,可支持以txt格式导入,点击<导入文件>,如下图所示。
1、所有自定义弱密码规则,关联的web域名/URL,最大数量不超过50个;
2、优先级顺序:自定义的弱密码规则优先级高于默认规则,先判断匹配自定义规则,在判断匹配默认规则。
WEB登录结果自定义
WEB登录结果分为登陆成功规则和登录失败规则,主要应用在SIP在客户实际网络中识别到的web登陆成功和登录失败信息与业务的真实情况存在偏差,以此来进行手动矫正,主要依据http协议中成功和重定向两类状态码,通过匹配登陆成功的内容、服务器IP地址等进行,如下图所示。