Security 如何登录Nessus中的网页并执行SecTest?
我正在尝试使用Nessus测试网页。我已经测试了服务器的所有内容。但是现在我想继续登录到网页,并测试登录表单后面所有可能的页面。但我没能做到。我给出了所有(文本、密码和隐藏字段)表单字段的值,包括中央身份验证系统生成的票据。但什么也没发生。登录页面(:P)后面没有任何安全问题,或者我无法登录该页面(100%可能性:D)。有关更多信息: 这些是登录字段。;) 有没有人使用Nessus并知道如何解决这个问题?还有谁知道如何将饼干导入NessusSecurity 如何登录Nessus中的网页并执行SecTest?,security,nessus,Security,Nessus,我正在尝试使用Nessus测试网页。我已经测试了服务器的所有内容。但是现在我想继续登录到网页,并测试登录表单后面所有可能的页面。但我没能做到。我给出了所有(文本、密码和隐藏字段)表单字段的值,包括中央身份验证系统生成的票据。但什么也没发生。登录页面(:P)后面没有任何安全问题,或者我无法登录该页面(100%可能性:D)。有关更多信息: 这些是登录字段。;) 有没有人使用Nessus并知道如何解决这个问题?还有谁知道如何将饼干导入Nessus 先谢谢你 我也有类似的问题;不能为你说话,但听起来你和
先谢谢你 我也有类似的问题;不能为你说话,但听起来你和我一样有很多网站知识(这并不多!)-无意冒犯。在我的情况下,我不确定我是否了解网站最基本的结构元素,例如扫描指向的URL,然后将其与策略中的登录页面正确连接。我更擅长网络和基础设施渗透测试:D 我在搜索引擎中搜索了“Nessus HTTP cookie导入”,发现Tenable在他们的播客《第14集: 如果您查看上述网页上的“故事”说明,就会发现一个使用“导出Cookies”Firefox插件的提示。附加模块有一些指导,但基本上:
- 将附加组件安装到您的浏览器中(我使用的是OWASP Mantra浏览器;我敦促您查看它)
- 重新启动浏览器
- 登录主题网站并进行身份验证
- 从“工具”菜单中,选择“导出Cookies”
- 保存到文件,并将Nessus扫描策略指向该文件
更新:嗯,第一次尝试的时候它对我不起作用。我正在确认我的策略中没有任何冲突或替代设置,但如果这不起作用,我担心…根据文档,除了导入cookie之外,另一种方法(目前为7.0)是:
- 用户名:登录用户名
- 密码:指定用户的密码
- 登录页面:应用程序登录页面的绝对路径,例如,
/Login.html
- 登录提交页面:表单方法的操作参数。例如:
的登录表单将是:/login.php
- 登录参数:指定身份验证参数(例如,
)。如果使用了关键字%USER%和%PASS%,则它们将替换为登录配置下拉菜单上提供的值。此字段可用于提供 如果需要,可以使用两个以上的参数(例如,认证过程需要一个组名或一些其他信息)Login=%USER%&password=%PASS%
- 检查页面上的身份验证:需要身份验证的受保护网页的绝对路径,以更好地帮助Nessus确定身份验证状态,例如,
/admin.html
- 验证成功身份验证的正则表达式:在登录页面上查找的正则表达式模式。仅仅接收200响应代码并不总是足以确定会话状态。Nessus可以尝试匹配给定字符串,例如身份验证成功
但是,看看这些报告,在我的例子中,由于某种原因,它无法进行身份验证您知道如何下载和安装cookie导入nessus插件吗?默认情况下,它不是7.0.3中内置的。
username=
&password=
<=_c0C1F5872-F217-B20F-6D86-AA3AA1C1262E_kC7BEB4F7-5216-53EB-2F9A-7FDDFE01D145
&_eventId=submit
&submit=Login