最佳答案
您好,不知道具体型号,请参考
功能描述:Web扫描选项、Web检测、扫描登录设置的配置。
配置路径:【扫描】>【新增任务】>【Web扫描参数】
功能描述:扫描范围、Web访问、Web爬行、链接过滤、流量限制、Web2.0、表单的配置。
配置路径:【扫描】>【新增任务】>【Web扫描参数】
(1) 常规
图4-36 Web扫描参数-常规
参数说明:
· <站点扫描顺序>:支持同时扫描和顺序扫描。
· <扫描模式>:支持边爬行边扫描、先爬行后扫描、只爬行、只检测。
(2) 扫描范围
图4-37 Web扫描参数-扫描范围
参数说明:
· <扫描目录范围>:扫描目录范围包括:扫描当前域、扫描整个域、检测当前页、仅扫描目录URL下的链接、扫描所有链接。
· <其他服务和域>:在扫描中包含其他服务器和域。
· <最大URL链接限制>:设置扫描的最大URL链接数,在达到该链接数后停止扫描,-1表示不限制URL链接数量。设置具体的个数如10000,当爬行到10000个URL时,系统会停止爬行。默认设置为-1。
(3) Web访问
图4-38 Web扫描参数-Web访问
参数说明:
· <HTTP协议版本>:HTTP协议版本号,用户可以根据需要选择HTTP1.1或HTTP1.0不同版本协议,默认设置为自动。
· <操作系统类型>:指定操作系统类型,扫描器将扫描相关操作系统的漏洞。
· <Web服务器类型>:支持Web服务器类型的判断,默认配置为自动判断。
· <连接服务器超时(秒)>:主应用程序发出HTTP请求到接收服务端接收响应时间,默认15秒,用户可以自行修改,建议使用默认配置。
· <HTTP传输超时(秒)>:HTTP传输超时时间设置,默认传输超时时间为30秒。
· <HTTP请求失败重试次数>:主应用程序向服务端发送HTTP请求失败(服务器没有响应请求或传输超时)后,再次重新发送相同的请求的次数。默认设置3次。
· <HTTP支持语言>:可以选择中文(zh-cn)和英文(en-us),默认设置中文(zh-cn)。
· <User-Agent文本>:用户代理文本,即访问的浏览器文本信息,它是一个特殊字符串头,使得服务器能够识别客户使用的操作系统及版本、CPU类型、浏览器及版本、浏览器渲染引擎、浏览器语言、浏览器插件等。
· <每个页面最大接收内容长度(字节)>:表示引擎每个页面最大接收的内容长度,默认设置1048576字节。
(4) Web爬行
图4-39 Web扫描参数-Web爬行
参数说明:
· <如果首页跳转,同时扫描新域名>:是否支持首页跳转。若选择<是>则支持首页跳转并扫描新域名。选择<否>则不支持首页跳转,只扫描当前域名。
· <路径模式排重>:在扫描过程中爬到路径类似的链接是否需要排重。若选中<是>,表示排重,不会扫描,否则扫描。
· 路径模式排重指当URL的路径部分出现数字时,如果2个URL的路径除了数字以外都一样,则只保存和检测其中一个URL。
· 这种方式的排重目的是提高效率。例如以下URL选择了“是”则会排重,只会爬行一个URL。
· http://www.**.com/news/2010-12-02/1.html
· http://www.**.com/news/2010-12-02/2.html
· http://www.**.com/news/2010-12-03/1.html
· http://www.**.com/news/2010-12-03/2.html
· <参数排重>:支持无、按参数名排重、按参数组合模式排重三种参数排重方式。
1、按参数名排重。
· 参数无顺序的,只要参数一样就排重。
· 例如http://192.168.23.5/web/product.asp?tp=67。这个URL中的tp就是一个参数。随着tp的值的变化可能会有多个URL链接。按参数名排重的意思是只爬行tp参数的一个值,其他的不爬行,如爬行了tp=67,那么tp=68或其他的值就不会爬行了。爬取多少个URL后开始排重由“同参数URL数量”选项指定
2、按参数组合模式排重。
· 参数有顺序,只有顺序一致才排重。
· 例如http://192.168.23.5/web/login.asp?para1=参数1¶2=参数2¶3=参数3。此链接参数名称按数学排列组合,最多爬行6个。爬取多少个URL开始排重由“同参数URL数量”选项指定。
3、无:表示所有的URL都进行爬行。
· http://www.**.com/news/2010-12-03/2.html
· <同参数URL数量>:参数名相同,参数值不同的URL保留数量,此配置项有效的前提是【参数排重】不为无。
· <同一路径最大URL数量>:静态URL,同一路径下且最后一级都是数字的,保存的URL的数量。如http://192.168.23.5/web/11.html。
· <相近格式URL爬行数量>:限制格式相近的URL爬行的数量,默认为0,表示不限制爬行数量。
· <爬行层数限制>:限制爬虫向下爬行层数,默认为0,表示不限制爬行层数。
· <爬行路径深度限制>:限制爬虫爬行的路径深度,默认为10。
· <每个目录的最大子目录和文件个数>:设置每个目录爬行的最大子目录和文件数,默认为512。
· <路径区分大小写>:开启时当路径含有相同字母时区分为不同链接。
· <参数区分大小写>:开启时当参数含有相同字母时区分为不同链接。
· <是否启用路径字典探测>:开启时启用路径字典探测功能。
· <路径字典探测最大深度>:设置路径字典探测最大目录深度。
· <是否启用路径字典探测协程>:设置是否支持多线程进行路径字典探测。
· <路径字典探测线程数量>:路径字典探测线程数量,开启协程时用;开启协程时,默认是3个线程,最大30,最小0则不开启线程。
· <路径字典探测一个协程处理的字典数量>:路径字典探测一个协程处理的字典数量,开启协程时用;开启协程时,默认是1个协程处理50个URL,最大600,最小5。
(5) 链接过滤。
图4-40 Web扫描参数-链接过滤
参数说明:
· <保存文件类型白名单>>:后缀名在白名单中的URL地址会被保存。
· <爬行文件类型白名单>:爬行网站过程中有很多类型脚本、页面文件类型,只对设置在白名单中的类型文件进行爬行和检测。
· <检测文件类型白名单>:检测网站过程中有很多类型脚本、页面文件类型,只对设置在白名单中的类型文件进行检测。
· <不爬行的文件类型>:用于配置扫描时不爬行的文件类型,从爬行中排除这些类型的文件,例如mp3、rar。
· <不检测的文件类型>:用于配置扫描时不抓取的文件类型,默认不扫描以下几种文件类型:3dm,bmp,gif,ico,jpf,jpg,jpeg,pct,pcx,png,ps,psd,psp,thm,tif,tiff,wmf,css,js。
· <不自动扫描的域名>:当扫描时遇到这些域名则不执行扫描。默认遇到以下域名时不执行扫描:*.***.***,*.google.*,*.yahoo.*,*.baidu.*,*.sina.*,*.sohu.*,*.taobao.*,*.alipay.*,*.qq.*,*.360.*
· <注销页面检测>:包含以下任何一个字符串的页面为注销页面,不进行扫描,例如logout、off、signout、logoff、signoff、exit、quit、bye-bye、clearuser、invalidate。
· <只扫描匹配的页面>:检测网站过程中,只扫描添加到该列表中的页面,添加到列表中的参数支持通配符。如在列表中添加*cms*,在爬行网站时只会爬行匹配到含有cms的页面。
· <只扫描指定目录下的页面>:仅扫描指定目录下面的URL,例如/dir3/dir4,多个用逗号隔开。
· <忽略含有特殊关键字的链接>:在检测的过程中,忽略含有特殊关键字的链接,例如:注销,若有多个则用逗号隔开,默认忽略含有页数关键字的链接,例如delete、logoff、exit等。
· <跳过所有表单>:默认为否。如果设置为是,在扫描过程中,将跳过所有的表单。
· <跳过登录表单>:默认为否。如果设置为是,在扫描过程中,将跳过所有的登录表单。
· <目录黑名单>:存在于黑名单中的目录将不被扫描,只有在目录白名单为空时黑名单才有效,配置格式例如/dir3/dir4。
· <动态页面的后缀列表>:根据URL的后缀来判断是否是动态页面,例如asp、jsp、php。
· <静态页面的后缀列表>:根据URL的后缀来判断是否是静态页面,例如html、htm。
图4-41 Web扫描参数-流量限制
· <最低限速>:设置最低限速,若访问速度低于最低速度则会终止访问,-1表示不限制最低速度。
· <每秒最大发送发送请求数>:表示引擎每秒最大发送请求个数,默认配置为256。
· <系统休眠时间>:配合每秒发送请求个数用,当发送完设置的每秒请求个数的时间不足1秒,程序就休眠一下,休眠时间的单位为毫秒,默认配置为1。
· <最大收发速率(千字节/秒>:限制最大发包速率,默认值-1表示不限制收发速率。
· <允许的访问http请求的最大连接数量>:设置保存已创建的连接数量,以备重用,用于提高数据通信速率,默认最大连接数为5。
· <扫描倍速>:同一时刻允许并行扫描的URL数量,-1表示不作限制。
图4-42 Web扫描参数-Web2.0
参数说明:
· <开启模拟点击按钮功能>:用于模拟用户鼠标点击事件。
· <执行Javascript脚本>:执行Javascript脚本选择“是”时会启用动态爬虫,选择“否”时则不启用动态爬虫。
· <执行Javascript脚本进程数>:执行Javascript脚本进程数,默认是1个,最大3。
· <执行js脚本的User-Agent文本>:执行动态爬虫时默认的浏览器
· <执行js脚本网页渲染时间>:表示渲染网页等待的时间,单位毫秒,某些含有ajax的URL的等待渲染完成的时间
· <深度解析>:是否支持对网站内容进行深度解析,默认为否。
· <深度解析渲染时间>:表示渲染网页等待的时间,单位毫秒,某些含有ajax的URL的等待渲染完成的时间。
· <解析Flash文件中的URL>:引擎会解析Flash文件中包含的URL,默认设置“是”。
图4-43 Web扫描参数-表单
参数说明:
· <自动填充表单>:系统对于表单包含GET和POST操作会自动解析提取进行检测,用户可以对特定字段填充自己的值,如希望添加自己的用户名,可设置*username*=u,并将此设置填在最前面。
· 参照设置如下。
· addr*=newroad,*age*=24,*area*=0571,*city*=HangZhou,*day*=01,*month*=01,*year*=2016,*=1,当检测表单匹配到包含addr等字符字段参数时,会自动填充。否则用1填充。
· <对包含textarea元素的表单进行测试>:选择是否对包含textarea元素的表单进行测试。
功能描述:常规检测。
配置路径:【扫描】>【新增任务】>【Web扫描参数】>【Web检测】
图4-44 Web扫描参数-Web检测
参数说明:
· <名称相同的参数不重复检测>:选择“是”后系统对名称相同的参数不进行重复检测。
· <自定义404URL>:添加自定义404的URL列表。
· <自定义404页面包含字符串>:添加自定义404的字符串列表
· <不检测的参数>:URL带的参数如果属于不检测的参数,则不会对此参数进行检测,支持多个不需要检测的参数。
· <敏感词汇>:敏感词汇列表,对敏感词检测时使用。
· <攻击有效载荷(payload)大小写随机>:在攻击是可选择是否随机大小写payload,默认为否。
· <URL空格替换方式>:选择使用哪种编码空格,编码只针对sql注入漏洞和跨站脚本攻击漏洞。
· <检测深度>:允许检测的URL最大深度,0及以下表示不限制,这条配置只针对木马类型的检测。
· <URL编码方式>:选择URL的编码方式,编码只针对sql注入漏洞和跨站脚本攻击漏洞。
· <URL编码字符选择>:在上一条选择参数值或者整个检测参数编码后,这个配置才起作用,这里的编码方式对空格无效。
功能描述:提供Web认证、页面登录、代理设置功能。
配置路径:【扫描】>【新增任务】>【Web扫描参数】>【扫描登录设置】
图4-45 Web扫描参数-Web认证
参数说明:
· <认证方法>:认证方法支持无、自动(除basic之外)、Basic、Digest、Digest认证(IE风格)、NTLM。
· <用户>:用户根据情况选择认证方法后,输入httpAuth认证的用户名。
· <密码>:用户根据情况选择认证方法后,输入httpAuth认证的密码。
· <SSL版本>:选择相应SSL版本。
(1) 页面登录
图4-46 Web扫描参数-页面登录
参数说明:
· <登录URL>:设置登录页面的URL。
· <用户名参数>:识别可能是用户名的参数。
· <密码参数>:识别可能是密码的参数。
· <用户名>:登录账号
· <密码>:登录密码
(2) 代理设置
图4-47 Web扫描参数-代理设置
参数说明:
· <代理服务器类型>:代理服务器类型主要包含不使用代理、HTTP代理、Sockets代理。
¡ 不使用代理:直接扫描被测网站。
¡ HTTP代理:设置HTTP服务器IP和端口,1080是默认端口,用户可以根据HTTP代理服务器的端口进行修改。对于身份认证验证的代理服务器,可以在下方设置代理服务器用户名和密码。
¡ Sockets代理:设置方式同HTTP代理,只是扫描器与代理服务器之间通信协议不同而已。
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论