如果您的网站除了需要账号密码登录,还有其他的访问机制(例如,需要输入动态验证码),则建议您设置cookie登录方式进行网站漏洞扫描,以便漏洞管理服务能为您发现更多安全问题。
设置cookie登录方式时需要输入网站的cookie值。
须知:
获取cookie值后,在创建扫描任务时,请您保持网站的登录状态,以免cookie失效。
手动获取网站cookie值
以Google Chrome浏览器为例说明,获取网站(例如,www.example.com)的cookie值的步骤如下:
- 打开Google Chrome浏览器。
- 按“F12”,进入浏览器的开发者模式。
- 在地址栏中输入目标网站地址“www.example.com”。
- 在调试页面中,选择“Network > XHR” ,如图1所示。图1 Network页面
- 在左侧导航树中,选择一个http请求。
- 在“Headers”页面的“Request Headers”区域框,获取当前网站页面的“Cookie”字段值,如图2所示。图2 获取cookie值
使用浏览器插件获取网站cookie和storage值
如果您的网站登录之后不仅设置了cookie,还设置了storage,只提供cookie无法使漏洞管理服务正常登录网站,建议您通过浏览器插件获取网站cookie、local storage和session storage值,以Google Chrome浏览器为例,步骤如下:
- 下载浏览器插件Cookie Getter并解压缩。表1 下载列表支持浏览器下载地址SHA-256文件校验Google Chrome、Microsoft EdgeCookie Getter7C35DC34F732B4B3F2B89C3B8ADAEE6ECE3079B991718AAB10B963F7D15B1468
- 打开Google Chrome浏览器,单击“设置”,单击“扩展程序”,打开“开发者模式”开关。
- 单击“加载已解压的扩展程序”,选择解压后的文件根目录,加载浏览器插件。
- 打开并登录网站。
- 单击扩展程序-浏览器插件Cookie Getter图标,获取浏览器插件展示的JSON格式cookie和storage值全文。
须知:
- 漏洞管理服务的Cookie登录支持设置“以分号分隔的键值对”和“JSON”两种格式cookie值。
- 您可以按需裁剪或修改浏览器插件获取的数据,保持正确的JSON格式并提供必要的cookie和storage值即可。