译文地址:https://www.acunetix.com/support/docs/wvs/configuring-targets/
注意:不要在没有获取到恰当的认证之前扫描一个网站
web服务器会显示你发起扫描的IP和所有由Acunetix制造的攻击。如果你不是这个站点或者是某个网络应用的唯一管理员,请确保在发起一个扫描前通知其他管理员知道你将要扫描此网站。有些类型的扫描会导致网站崩溃,如果有需要请尝试重启你的网站。
当你配置好你需要扫描的目标之后,你需要准备好发起一个扫描来辨识你的网站应用存在的任何潜在的安全漏洞。这里有如下许多方法来开始一个扫描:
1.从Target清单中选择一个Target来扫描,点击扫描按钮:
这里的截屏出自于选择一个Target并且开始扫描。
2.在配置Target设置中,点击现在开始扫描
这里的截图来自于选择一个Target并且开始扫描
3.从扫描的页面中,点击新建一个扫描。根据网页的提示你需要选择一个Target来作为扫描对象。
当你选择了多个Target来扫描的时候,需要配置扫描选项来用于扫描。
截图来自于选择扫描选项
scan type:在Full Scan和scanning profile中选择一个扫描类型。不同的扫描类型对于漏洞的扫描侧重点是不一样的(例如选择Cross-Site Scripting,SQL Injection)。下面简略的介绍了有关Acunetix中所包含的扫描类型。
Full Scan– 使用Full Scan来发起一个扫描的话,Acunetix会检查所有可能得安全漏洞。
High Rish Vulnerabilities–这个扫描选项将仅仅只会检查那些对web站点影响最大的缺陷漏洞。
Cross-Site Scripting(XSS)–XXS漏洞扫描只会检测跨站脚本攻击漏洞缺陷。
SQL Injection–SQL Injection扫面只会检查有关SQL注入的漏洞攻击。
Weak Passwords–弱密码漏洞扫描将只会扫描那些接受用户名和密码的表单,并尝试对这些表单进行攻击。
Crawl Only–爬虫扫描仅仅对网站进行爬虫并建立该网站的整体结构,并不会做任何漏洞扫描检查。
连续扫描
在你运行完了第一次初始化扫描之后,确认并且修复了已经检测到的漏洞缺陷,并且确认你的目标网站没有包含漏洞和安全问题之后,你需要连续扫描来确保你的目标站点处于安全状态。对目标url进行连续扫描,并且给予每天的的日常扫描报告是否检测到了新的安全漏洞。新的漏洞可以引入到web开发人员对网站的更新中修复,或者反馈到web服务器的管理员,通过对web服务器的配置修改来规避这些安全漏洞。
建议在进行连续扫描的时候每周执行一次全量扫描。全量扫描是在每天快速扫描的基础上增加的,快速扫描只注重严重级别的安全漏洞扫描。连续扫描target的web站点之后会将新扫描出来的安全漏洞追加到安全漏洞报告中,用户可以去报告中查看有关该安全漏洞的详细信息。当一个新的漏洞被扫描出来之后,你将会被邮件通知并且在消息提示栏中显示最新被识别的漏洞。
2859
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
