本章节为您介绍如何使用软件开发平台对网站进行漏洞扫描。
操作步骤
步骤1 登录软件开发平台首页,搜索目标项目并单击项目名称,进入项目。
步骤2 单击顶部导航栏“测试 > 漏洞扫描” ,选择“Web漏洞扫描”页签。
步骤3 单击“新增”,输入待扫描的域名信息。
● 输入待扫描的域名/IP、备注名称等信息。
● 参考归属权认证操作方法,完成网站归属权认证。如果通过认证,则可以进行下 一步操作。
步骤4 根据网站业务情况,选择合适的登录方式,并输入相应登录信息。
系统支持以下三种登录方式,若待扫描的网站有大量需要用户登录后操作的业务逻 辑,推荐您选择前两种登录方式,以便更全面发现待扫描网站的漏洞。
登录方式 说明
用户名密码登 录
扫描器会将此处填写的用户名和密码,模拟登录网站。登录页面输 入框里请填写登录页面的URL,登录验证网址输入框用来验证是否 可以成功模拟登录,可以填写一个需要登录的页面地址,如用户个 人中心、管理后台等页面。
cookies登录 扫描器会将您填写的cookies填充到每个请求中,请您注意cookies 有效期,确保长时间不过期或过期后及时更换。
无需登录 如果网站没有需要登录的页面,您可以选择此项。
步骤5 完成全部设置后,单击“确定并扫描”,系统将跳转至域名列表,并自动启动漏洞扫 描。
若完成设置时单击“确定”,需要在域名列表中单击 启动漏洞扫描。
步骤6 扫描过程中,域名列表会实时刷新扫描状态,如发现漏洞,将会在页面中显示漏洞统 计数量和安全评分。
扫描完成后,在域名列表中单击 查看扫描报告;或单击域名进入详情页,选择“扫 描报告”页面查看报告详情。
若网站存在漏洞,单击对应漏洞的“漏洞详情”,即可在弹框中查看漏洞的详细信息 和修复建议。
----结束
归属权认证操作方法
新建漏洞扫描任务时,需要进行待扫描网站的归属权认证。操作步骤如下:
步骤1 单击“认证文件”,将认证文件下载到本地电脑。
步骤2 将认证文件上传到待扫描网站的根目录中。
步骤3 上传完成后,返回新建漏洞扫描任务页面,单击“去确认”,观察能否在本地浏览器 成功访问该认证文件。
如果不能访问,请检查待扫描网站所在服务器的防火墙、安全组等是否正确配置。
步骤4 单击“认证”,漏洞扫描服务会在后台访问该文件,确认网站的归属权。
----结束
下表列出了一些常见Web服务器上传文件的方法,以供参考。
● Tomcat/Apache/IIS
a. 使用root或管理员账号登录网站所在服务器。
b. 找到Web根目录,即“index”文件的同级目录。
Web根目录的默认位置通常如下表所示:
Web服务器 默认根目录
Tomcat /webapps/ROOT/
Apache /var/www/html IIS C:\inetpub\wwwroot
3. 将认证文件“SecScan-certify.html”保存根目录下。
● Nginx
a. 使用root或管理员账号登录网站所在服务器。
b. 将认证文件上传到任意目录下,保证Nginx进程对此目录有读权限。
c. 打开“nginx.conf”文件,配置http模块的location信息。将“/SecScan-certify.html”的访问重定向到上一步的文件。
以下是“nginx.conf”文件的配置示例,请根据实际情况修改。
d. 执行以下命令刷新配置。
nginx -s reload
● Node.js
a. 在服务代码中加入以下代码行,绑定静态资源路径。
app.use(express.static(path.join(‘config’)));
以下是服务代码main.js文件的配置示例,请根据实际情况修改。
b. 执行以下命令,启动应用程序。
node main.js
c. 在应用程序的启动路径下创建资源目录“config”,将认证文件放入该目录 内。
● Springboot
如果springboot配置文件中自定义了“spring.resources.static-locations[0]”,可 直接将认证文件“/SecScan-certify.html”放置到相应的目录下。
如果没有上述自定义,则参考以下操作步骤完成配置。
说明
对于配置了context-path属性的工程,目前暂时无法完成归属权认证,可考虑在认证前删 除该配置,完成认证后再行恢复。
a. 使用解压软件打开可执行jar包,进入jar包“/BOOT-INF/classes”目录下创 建资源文件夹“resources”。
b. 将“SecScan-certify.html”文件放置到“resources”目录下。
说明
1. 以上两步可以在压缩包内直接操作,无需解压后重新打包。
2. springboot默认访问静态资源优先级resources > static > public,同时存在这三个 静态资源目录时,注意考虑文件优先级顺序。
c. 执行以下命令,启动修改后的jar包。其中xxx.jar为jar包的名称,请根据实际 情况修改。
java -jar xxx.jar
d. 确认通过浏览器可以正常访问认证文件即可。