Come eseguire la scansione di un sito Web utilizzando Nessus con le credenziali di accesso

Naviga le tue risposte
1

Ho scansionato il mio sito web usando Nessus . Ma ho bisogno di scansionarlo come utente connesso da la maggior parte degli URL sono accessibili solo se siamo loggati. Come posso impostare le credenziali di accesso al sito web in Nessus?

    
posta Harikrishnan 30.04.2014 - 09:33
fonte

3 risposte

1

Nessus 5 ha apportato una modifica: è nella sezione Preferenze:

  • Configurazioni di accesso
  • Pagina di accesso HTTP

Qui puoi impostare le tue credenziali / impostazioni HTTP.

Questo è un controllo di base nella documentazione . Perché andare su Google, quando puoi RTFM ....

    
risposta data 30.04.2014 - 19:53
fonte
2

Nessus ha le informazioni pubblicate sulla loro pagina con un passaggio completo. link

    
risposta data 30.04.2014 - 18:34
fonte
1

Ci sono due modi:

  • Importazione dei cookie: per prima cosa devi esportarli dal tuo browser in formato netscape. Maggiori informazioni qui

  • Parametri di accesso Http: Un articolo che dimostra questa opzione è qui .

    Inoltre, i passaggi descritti nella documentazione sono i seguenti:

    1. Crea nuova scansione
    2. Test delle applicazioni Web

    3. Credenziali: che sono compilate come queste (tratte dalla documentazione):

      • Nome utente: accedi al nome utente.
      • Password: password dell'utente specificato.

      • Pagina di accesso: il percorso assoluto della pagina di accesso dell'applicazione, ad esempio /login.html

      • Pagina di invio login: il parametro action per il metodo form. Ad esempio, il modulo di accesso per: sarebbe: /login.php

      • Parametri di accesso: specifica i parametri di autenticazione (ad es. login =% USER% & password =% PASS%). Se vengono utilizzate le parole chiave% USER% e% PASS%, verranno sostituite con i valori forniti nel menu a discesa Configurazioni di accesso. Questo campo può essere utilizzato per fornire più di due parametri, se necessario (ad es., È richiesto un nome di gruppo o qualche altra informazione per il processo di autenticazione).

      • Verifica autenticazione sulla pagina: il percorso assoluto di una pagina Web protetta che richiede l'autenticazione, per meglio assistere Nessus nel determinare lo stato dell'autenticazione, ad es. /admin.html.

      • Regex per verificare l'autenticazione riuscita: un modello regolare da cercare nella pagina di accesso. La semplice ricezione di un codice di risposta 200 non è sempre sufficiente per determinare lo stato della sessione. Nessus può tentare di abbinare una determinata stringa come l'autenticazione riuscita

Tuttavia, nel mio caso (drupal 6), non è stato possibile autenticare

    
risposta data 13.05.2018 - 15:32
fonte

Leggi altre domande sui tag

Che cos'è ISO27000 (27001) e come raggiungerlo? [duplicare] Autenticazione applicazione Web mediante Proprietà del computer