扫描具有复杂访问机制的网站漏洞_漏洞扫描服务 VSS_最佳实践

场景说明

如果您的网站“www.example.com”除了需要账号密码登录，还有其他的访问机制（例如，需要输入动态验证码），请您设置“cookie登录”方式进行网站漏洞扫描，以便VSS能为您发现更多安全问题。

在添加域名并完成域名认证后，请您参照本文档对具有复杂访问机制的网站（“www.example.com”）进行漏洞扫描，操作流程如下：

①获取网站的cookie值 → ②设置网站“cookie登录”方式 → ③创建扫描任务 → ④查看扫描结果并下载扫描报告

前提条件

已添加域名并完成域名认证。有关添加域名和域名认证的详细操作，请参见添加域名并完成域名认证。

步骤1：获取网站的cookie值

为了确保获取的cookie值有效，请您在获取cookie值后保持网页的登录状态，再执行步骤2：设置网站cookie登录方式～步骤4：查看扫描结果并下载扫描报告。

以Google Chrome浏览器为例说明，获取网站的cookie值的步骤如下：

1. 打开Google Chrome浏览器。
2. 按“F12”，进入浏览器的开发者模式。
3. 在地址栏中输入目标网站地址“www.example.com”。
4. 在调试页面中，选择“Network > XHR” ，如图1所示。
   图1 Network页面
   

5. 在左侧导航树中，选择一个http请求。
6. 在“Headers”页面的“Request Headers”区域框，获取当前网站页面的“Cookie”字段值，如图2所示。
   图2 获取cookie值
   

步骤2：设置网站“cookie登录”方式

请参照以下操作步骤设置“cookie登录”方式。

1. 登录管理控制台。
2. 进入网站登录设置入口，如图3所示。
   图3 进入网站登录设置入口
   

3. 在弹出的“编辑”对话框中，将图2中网站的cookie值完整复制到“cookie值”文本框中，如图4所示。
   图4 设置cookie登录方式
   

4. 在“验证登录网址”文本框中输入用于验证登录的网址。

   输入登录成功后才能访问的网址，便于VSS快速判断您的登录信息是否有效。

5. 勾选“我已阅读并同意《华为云漏洞扫描服务声明》”，单击“确定”，完成网站登录设置。

步骤3：创建扫描任务

创建扫描任务时，请您保持网站的登录状态，以免cookie失效。

1. 在该域名所在行的“操作”列，单击“扫描”，如图5所示。
   图5 创建扫描任务
   

2. 在“创建任务”界面，根据扫描需求，设置扫描参数，如图6所示。

   关于扫描项的详细介绍，请参见创建扫描任务。

   图6 创建扫描任务
   

3. 单击“开始扫描”。

   如果没有设置开始扫描时间，且此时服务器没有被占用，则创建的任务可立即开始扫描，任务状态为“进行中”；否则进入等待队列中等待，任务状态为“等待中”。

步骤4：查看扫描结果并下载扫描报告

扫描任务执行成功（域名的“上一次扫描结果”状态为“已完成”），您可以查看扫描结果并下载扫描报告。

1. 在该域名所在行的“上一次扫描结果”列，单击扫描得分。
2. 在扫描任务详情界面，查看扫描结果，如图7所示。
   图7 查看扫描任务详情
   

3. 单击右上角的，将网站扫描报告下载到本地，查看详细的扫描结果。

   报告目前只支持PDF格式。