评估设置站得住脚的Web应用程序扫描扫描
评估设置指定web应用程序元素的扫描仪审计爬行你的url。您可以配置评估设置当您创建一个扫描或用户定义扫描模板。有关更多信息,请参见扫描模板。
的评估设置包括以下部分:
这些设置指定的强度评估您希望扫描执行。
设置 | 默认值 | 描述 | 要求 |
---|---|---|---|
评估 | 推荐 | 下拉框,让你选择以下选项指定您希望扫描仪扫描类型。
注意:如果您选择推荐,快速,或广泛的然后更改设置在本节中,扫描类型设置自动变化自定义。 |
是的 |
设置 | 默认值 | 描述 |
---|---|---|
检测水平 |
大多数检测到页面 | 下拉框,让你选择以下选项来指定你想要哪个页面爬行的扫描仪。
注意:的检测水平下拉框是只有当你选择自定义在扫描类型设置。 |
的凭证Bruteforcing设置是可用的扫描模板。
设置 | 默认的 | 描述 |
---|---|---|
凭证Bruteforcing |
禁用 | 当启用,任何插件执行bruteforcing包含在插件设置运行。 当禁用,bruteforcing插件不运行,即使它们被写入插件设置。 注意:的凭证Bruteforcing设置为只有当您选择自定义在扫描类型设置。 |
这些设置指定你想要的元素在web应用程序漏洞的扫描分析。
设置 | 扫描仪的行动 |
---|---|
饼干 |
检查基于cookie的漏洞。 |
头 |
检查头漏洞和不安全的配置(例如,失踪X-Frame-Options)。 |
形式 |
检查基于表单的漏洞。 |
链接和查询字符串参数 |
在链接和它们的参数检查漏洞。 |
参数名称 |
执行广泛的参数名称起毛。 |
参数值 |
执行广泛的模糊参数的值。 |
路径参数 | 评估路径参数。路径参数中使用URL重写识别URL中的动作的对象。例如,scanId是一个路径为以下URL参数,用于识别扫描显示结果: http://example.com/scan/scanId/结果 |
JSON元素/请求主体(JSON) |
审计JSON请求数据。 |
XML元素/请求主体(XML) |
审计XML请求数据。 |
UI表单 |
检查输入和按钮组相关的JavaScript代码。 |
用户界面输入 |
检查孤儿输入元素对相关文档对象模型(DOM)的事件。 |
设置 | 默认的 | 描述 |
---|---|---|
为远程URL包含 | 没有一个 |
指定一个远程主机上的文件站得住脚的Web应用程序扫描可以使用它来测试一个远程文件包含漏洞(RFI)。 如果扫描仪不能达到互联网,更准确的RFI的扫描仪使用这个内部托管文件测试。 请注意:如果你不指定一个文件,站得住脚的Web应用程序扫描使用安全,站得住脚的主持RFI测试的文件。 |
DOM元素排除防止扫描与特定页面元素和他们的孩子交流。此设置用于扫描、概述和PCI扫描模板。
注意:当扫描仪决定是否排除基于属性值的一个元素,它执行一个平等。所以,如果你想排除任何元素的css类foo的扫描仪不包括一个元素类= " foo ",但不是一个元素类= " foo酒吧”。
您可以通过单击添加除外按钮,选择文本内容或CSS属性。
设置 | 默认的 | 描述 |
---|---|---|
文本内容 | 没有一个 | 不包括基于文本内容的元素。 举个例子,如果你想防止扫描仪点击注销按钮命名为注销,可以匹配的文本注销。 |
CSS属性 | 没有一个 | 排除元素基于CSS属性键-值对。 举个例子,如果你想防止扫描仪与表单交互包含CSS属性键-值对id =“注销”、类型id的关键和注销的价值。 |