We believe that constant professionalism level growth helps to minimize the threats to your company's information security thus ensuring your success.

Сканирование WEB–приложений с аутентификацией

Александр ВетровИнженер информационной безопасности

В данной статье я расскажу об использовании Selenium script для аутентификации в WEB приложении.

Очень часто WEB приложения имеют нестандартную форму ввода логина и пароля. Будь то всплывающее меню и им подобные. И вот именно здесь на помощь нам приходит функционал Selenium script (http://www.seleniumhq.org/) для успешной аутентификации в рамках сканирования приложения. Приложение Selenium script выступает в роли расширения для браузера.

Запускаем браузер, открываем Selenium script.

В поле Base URL вводим адрес страницы с авторизацией.

Далее активируем кнопку записи действий

Переходим в браузер и выполняем авторизацию

После того, как мы ввели учётные данные в нужные поля, нажимаем кнопку входа

В результате наших действий, в окне Selenium script должны появиться поля с ID и значениями

Далее останавливаем запись скрипта и сохраняем его. В результате должен быть файл HTML

Далее переходим в консоль Qualys Guard

Выбираем нужное приложение и редактируем его

Переходим на вкладку Authentication и создаем новый тип аутентификации

В появившемся окне задаем имя

На вкладке Server Records выбираем тип Selenium script

Далее нам предлагают выбрать скрипт

Выбираем сохраненный скрипт

В поле Validation Regular Expression нужно вставить значение, которой будет доступно на странице после успешной аутентификации. В нашем случае это может быть слово Portal.

Сохраняем запись аутентификации и завершаем редактирование Web приложения. Для того, что бы быстро проверить успешность данного скрипта, можно выполнить Discovery scan

Выбираем ранее созданную запись аутентификации

И запускаем сканирование.

В результате, при успешной аутентификации, мы увидим Authentication Status: Successful

После этого можно смело проводить Vulnerability Scan данного приложения и не переживать о том, что аутентификация не пройдет.

Продолжение следует…