1.點擊下一步户秤,選擇認證模式,出現(xiàn)登錄管理的頁面颠悬,這是因為對于大部分網(wǎng)站矮燎,需要用戶名和密碼登錄進去可以查看許多內(nèi)容,未登錄的情況下就只可以訪問部分頁面赔癌。
用于登錄測試項目站點的用戶名以及密碼诞外。例如:用戶名:admin 密碼:123456
2、點擊”下一步“灾票,出現(xiàn)測試策略的頁面峡谊,可以根據(jù)不同的測試需求進行選擇
3、點擊”下一步“刊苍,出現(xiàn)完成配置向?qū)У慕缑婕让牵褂媚J配置,也可根據(jù)需求更改正什,如下圖:
4啥纸、點擊”完成“,設(shè)置保存路徑婴氮,即開始掃描斯棒,如下圖:
掃描設(shè)置:
在測試策略中,有多種不同的分組模式主经,最經(jīng)常使用的是“嚴重性”荣暮,“類型”,“侵入式”旨怠、“WASC威脅分類”等標準渠驼,根據(jù)不同分組選擇的掃描策略蜈块,最后組成一個共同的策略集合鉴腻。
測試策略選擇步驟如下:
1選擇缺省的掃描策略迷扇,切換到按照“類型”分類,取消掉“基礎(chǔ)結(jié)構(gòu)”和“應(yīng)用程序”兩種類型爽哎。
說明:把掃描策略置空蜓席,沒有選擇任何的掃描策略。在分組類型中選擇“類型”分類课锌,類型分類中只有兩種類型:“基礎(chǔ)結(jié)構(gòu)”和“應(yīng)用程序”厨内,可以快速全部都取消掉。
2分組類型渺贤,切換到“WASC威脅分類”雏胃,選擇“SQL注入”和“跨站點腳本編制”。
3.分組類型志鞍,切換到“類型”瞭亮,發(fā)現(xiàn)這時候“基礎(chǔ)結(jié)構(gòu)”和“應(yīng)用程序”兩種類型的掃描策略都是選擇上的模式,而且是虛線固棚,說明這兩種類型下均有部分掃描策略被選擇了统翩,我們不關(guān)心“基礎(chǔ)結(jié)構(gòu)”級別的安全問題,所以在這里取消“基礎(chǔ)結(jié)構(gòu)”此洲。
4.分組類型厂汗,切換到“侵入式”,發(fā)現(xiàn)這時候“侵入式”和“非侵入式”兩種類型的掃描策略都是選擇上的模式呜师∪㈣耄“侵入式”會有有比較強的副作用,可能對系統(tǒng)造成傷害匣掸,所以一般掃描生產(chǎn)系統(tǒng)的時候趟紊,很少選擇。這里把“侵入式”的用例取消掉碰酝。
把選擇好的測試策略霎匈,我們可以把它導(dǎo)出成一個模板,方便以后使用:
