Cómo escanear un sitio web usando Nessus con credenciales de inicio de sesión

Navega tus respuestas
1

He escaneado mi sitio web utilizando Nessus . Pero necesito escanearlo como usuario registrado desde que la mayoría de las direcciones URL son accesibles solo si estamos conectados. ¿Cómo puedo configurar las credenciales de inicio de sesión del sitio web en Nessus?

    
pregunta Harikrishnan 30.04.2014 - 09:33
fuente

3 respuestas

1

Nessus 5 hizo un cambio: está en la sección de Preferencias:

  • configuraciones de inicio de sesión
  • página de inicio de sesión HTTP

Allí puede configurar sus credenciales / configuración HTTP.

Esta es una comprobación básica en la documentación . ¿Por qué ir a Google, cuando puedes RTFM ...

    
respondido por el schroeder 30.04.2014 - 19:53
fuente
2

Nessus tiene la información publicada en su página con un recorrido completo. enlace

    
respondido por el munkeyoto 30.04.2014 - 18:34
fuente
1

Hay dos formas:

  • Importación de cookies: primero debe exportarlos desde su navegador en formato netscape. Lea más aquí

  • Parámetros de inicio de sesión HTTP: Un artículo que demuestra esta opción es aquí .

    Además, los pasos descritos en la documentación son los siguientes:

    1. Crear nuevo escaneo
    2. Pruebas de aplicaciones web

    3. Credenciales: que se completan de la siguiente manera (tomadas de la documentación):

      • Nombre de usuario: nombre de usuario de inicio de sesión.
      • Contraseña: contraseña del usuario especificado.

      • Página de inicio de sesión: la ruta de acceso absoluta a la página de inicio de sesión de la aplicación, por ejemplo, /login.html

      • Página de envío de inicio de sesión: el parámetro de acción para el método de formulario. Por ejemplo, el formulario de inicio de sesión para: sería: /login.php

      • Parámetros de inicio de sesión: especifique los parámetros de autenticación (por ejemplo, inicio de sesión =% USER% & contraseña =% PASS%). Si se utilizan las palabras clave% USER% y% PASS%, se sustituirán por los valores que se proporcionan en el menú desplegable de configuraciones de inicio de sesión. Este campo se puede usar para proporcionar más de dos parámetros si es necesario (por ejemplo, se requiere un nombre de grupo o alguna otra información para el proceso de autenticación).

      • Comprobar autenticación en la página: la ruta de acceso absoluta de una página web protegida que requiere autenticación, para ayudar a Nessus a determinar el estado de autenticación, por ejemplo, /admin.html.

      • Regex para verificar la autenticación exitosa: un patrón de expresiones regulares para buscar en la página de inicio de sesión. Simplemente recibir un código de respuesta 200 no siempre es suficiente para determinar el estado de la sesión. Nessus puede intentar hacer coincidir una cadena dada, como la autenticación exitosa

Sin embargo, en mi caso (drupal 6), no se pudo autenticar

    
respondido por el chefarov 13.05.2018 - 15:32
fuente

Lea otras preguntas en las etiquetas

Trabajo para una empresa desde casa en línea, usando mi propia computadora portátil. Problemas de privacidad [cerrado] malware no privilegiado o privilegiado para botnets