常见的爬行问题

关于爬行的问题吗?以下是我们从客户那里收到的最主要的问题:

InsightAppSec是否抓取SWF/Flash文件?

是的,InsightAppSec可以测试由Flash创建的客户端和服务器流量。你需要在Rapid7 AppSec traffic Recorder或通过第三方工具记录流量。InsightAppSec支持以下格式:

  • 交通文件(*.trec)
  • 打嗝文件(* . xml)
  • 帕罗斯岛文件(* . txt)
  • WebScarab文件(conversationlog)
  • HAR (HTTP存档)文件(*.har)
  • 提琴手文件(* .saz)

你可以上载交通文件到InsightAppSec扫描范围>宏,流量和硒>添加流量文件(s)

如何提高扫描速度?

在很多情况下,InsightAppSec会扫描重复的内容,以避免遗漏任何内容。在某些情况下,这会创建很长的扫描。您可以在高级选项屏幕减少扫描时间。

爬的配置

  • MaxPerDirCrawlResults = 100
  • MaxPerLinkCrawlResults = 10
  • MaxPerDirChildNodes = 100
  • MaxAttackFeedbackLinksCount = 10
  • MaxPerFileNameCrawlResults = 100

攻击者配置

  • ParameterToAttackBeforeLimitingAttacks = 1
  • LinksToAttackBeforLimitingAttacks = 1
  • MaxSameNameParameterAttackPoints = 5
  • MaxSameCookieParameterAttackPoints = 5
  • MaxSameNameParameterAttackPointsPerLink = 1

我如何记录特定的序列并以相同的顺序执行它们?

假设您想要记录一个精确的事件序列,例如在结帐过程中填写发货页面,然后攻击这个序列。你可以使用使用序列在[宏部分]中可用的选项(doc:scan-scope to record and replay events in sequential order)。

使用序列选项允许您攻击序列中的最后一页。但是,如果启用此选项,则会导致扫描进度变慢。建议您只对宏进行扫描。

如何扫描web应用程序的某些部分,而排除其他部分?

InsightAppSec具有广泛的功能,允许用户抓取应用程序的某些部分,而不是其他部分。您可以使用allowlists和denylists以控制您扫描的应用程序的各个部分。这包括通配符和正则表达式的功能。

您还可以使用宏、Traffic和Selenium文件将扫描限制为应用程序上的一组特定动作。有关此功能的更多信息,请参阅扫描范围文档。

扫描REST接口有哪些限制?

以下是我们目前支持的一些关键内容:

  • 格式—支持REST接口使用的大多数常用格式,包括经典的Name=Value、XML、JSON、CSV和GwT。
  • 认证和会话管理—支持HTTP_AUTH、Cookies和OAuth。我们还为定制解决方案提供接口。
  • 发现—要了解可用的方法和输入,必须提供REST接口的客户端和REST接口之间的通信记录。我们支持的文档和url。

以下是执行大规模扫描时的几个关键限制:

  • 认证和会话管理-如果你正在使用我们目前不支持的方案,那么必须为每个方案编写代码。
  • 发现-虽然我们可以自动扫描基于Swagger的文档和url,但我们不支持RAML和API Blueprint的发现。这些技术依赖于生成和记录客户机和REST接口之间的通信的手工过程。

acme.com/*文字匹配和acme.com/*通配符之间的区别是什么?

是通配符,但只有当匹配类型是通配符时,它才可以作为通配符,否则它将被视为文字。

浏览器宏和记录的流量有什么区别?

浏览器宏记录用户的操作,可以一遍又一遍地回放。例如,如果您在表单字段中输入“John”并按下enter键,那么在运行时这些操作将生成请求。而记录的流量记录原始的请求和流量,除非会话cookie被替换。

这两种方法都有各自的优点,除了宏有可能在每个步骤上失败,所以步骤越少,遇到问题的可能性就越小。建议宏包含的步骤不要超过10个。如果您打算执行较长的录音,您应该使用流量录音。

当网站上没有任何防止流量重放的特殊功能时,流量记录工作得很好,比如一次性令牌。重放一个有一个时间令牌的请求是不可能的。Flash在宏中也不受支持,所以如果你想测试AMF流量,你需要创建流量记录。

什么级别的请求失败是需要关注的?

5%或更多是一个很好的经验法则。InsightAppSec监视服务器的响应速度,如果它看起来像InsightAppSec正在DOSsing网站,那么它就会减慢或增加它的速度。

您可以手动更改InsightAppSec的并发线程和在GUI中,当扫描运行时请求之间的延迟,以降低InsightAppSec的速度。

有时候,网站的某些部分,比如数据库查询,可能会比网站的其他部分慢,而其他部分对于承载该网站的服务器来说,会占用更多的CPU。因此,InsightAppSec可能能够扫描一个网站的一个部分没有问题,但随后会遇到网站的一个区域,这是缓慢的,并导致更多的失败请求。

InsightAppSec测试页面是否会链接到正在测试的网站?

不,不会的。InsightAppSec遵循在抓取限制中设置的指导方针,不会测试任何你没有配置它来测试的页面。