配置目标网络应用扫描认证

以粒度细节级别扫描网络应用程序尤其重要，因为公开可访问的 Internet 主机容易成为攻击的目标。通过扫描内部访问认证后，您便可以检查网络资产是否存在危险漏洞，如 SQL 注入和跨站点脚本编制。

两种认证方法可适用于网络应用：

• 网站表单认证： 许多网络认证应用要求用户使用表单登录。通过本方法，安全控制台会在网络应用程序中检索登录表单。您可以在该表单中指定该网络应用程序将接受的凭证。然后，扫描引擎在对网站扫描前将把这些凭证提交给网站。请参见 创建网站表单认证登录。

在某些情况下，可能无法使用表单。例如，一份表单可能使用 CAPTCHA 测试或用于阻止计算机程序登录的相似项目。或者一份表单可能使用 JavaScript，出于安全原因不受支持。如果您的网络应用出现这些情况，那么您可以使用以下方法认证本应用程序。

• 网站会话认证：扫描引擎从登录页面向目标网络服务器发送一项包括 HTTP 头（通常是会话 cookie 头）的认证请求。参看 使用 HTTP 头创建网站会话认证登录

您使用的认证方法取决于您使用的网络服务器和认证应用程序。您可能需要一些反复试验才能确定哪种方法更有效。建议您在使用此功能前咨询网站的开发者。

注意: 对于要求用户基本认证或集成 Windows 认证 (NTLM) 的 HTTP 服务器，可使用被称为网站 HTTP 认证的服务配置一套扫描凭证。 若要使用此服务，请选择添加凭证，然后选择站点配置中认证标签中的账户。请参见 配置特定站点扫描凭证。

.