在目标Web应用程序上配置扫描身份验证

以粒度细节扫描Web应用尤为重要，因为公开访问的互联网主机是攻击的有吸引力的目标。通过扫描内部访问验证，您可以检查Web资产是否有关SQL注入和跨站点脚本等关键漏洞。

Web应用程序有两种认证方法:

• 网站表单验证：许多Web身份验证应用程序挑战用户以表单登录。使用此方法，安全控制台从Web应用程序中检索登录表单。您可以在Web应用程序将接受的表单中指定凭据。然后，在扫描之前，扫描引擎将这些凭据提交到网站。看为网站创建登录表单身份验证．在某些情况下，可能无法使用表单。例如，表单可能使用验证码测试或类似的挑战，这些挑战旨在阻止计算机程序登录。或者，表单可能使用JavaScript，但出于安全原因不支持JavaScript。如果这些情况适用于您的Web应用程序，那么您可以使用以下方法对应用程序进行身份验证。

• 网站会话认证：扫描引擎发送目标Web服务器的身份验证请求，该验证请求包括HTTP标题 - 通常是会话cookie标题 - 从登录页面中。看使用HTTP标头创建用于网站会话认证的登录．

所使用的身份验证方法取决于所使用的Web服务器和身份验证应用程序。为了确定哪种方法效果更好，可能需要反复试验。建议在使用此功能之前咨询Web站点的开发人员。