PCI扫描和认证用户页面
PCI扫描和认证用户页面
提问于 2011-10-19 21:30:19
我刚刚使用了一个安全供应商的自动PCI扫描工具来扫描我的web服务器。
它只具有开箱即用的能力,可以作为未经身份验证的用户扫描URL.这意味着它只扫描我的登录页面和它可以爬行/猜测的任何其他URL,并且只有一种模式(也就是说,所有页面在登录时都有更多的功能可用)。
是否有任何已知的PCI扫描工具允许通过身份验证的用户进行扫描以获得更好的覆盖率?我可以想象,为该工具设置一个受限的登录名,然后指定登录/密码或cookie作为扫描配置的一部分。
也许我混淆了PCI扫描的目的,这意味着它是一个黑匣子测试。如果是这样的话,对我来说,更好的渗透测试的下一个可能的步骤就是雇佣一个安全供应商来做手动白盒测试。
回答 2
Security用户
回答已采纳
发布于 2011-10-20 16:56:31
PCI ASV扫描是一种黑匣子测试。它的目的是证明最低限度的安全性,您必须达到这一点才能接收传递的结果(并且被认为是“符合PCI的”)。网页爬行部分只是整个ASV扫描的一小部分。
我同意这将是有益的,让您的网站测试一个认证的登录。但是,如果你确实为你的ASV提供了凭据,技术上它就不再是ASV扫描了。
一些ASV可能会提供这一选项作为附加服务,但这将取决于ASV。还有其他扫描工具和供应商可用于此特定测试。内苏斯是一个在脑海中浮现的人。
Security用户
发布于 2011-10-20 02:31:02
您是否尝试过更多地查看该工具中可能提供的选项?就我个人而言,我倾向于支持阿纽特克斯,它确实允许创建一个登录脚本,这样它就可以同时作为身份验证和非身份验证的用户进行扫描。唯一的缺点是,您只能为每个单独运行的扫描设置一个登录脚本,而有些应用程序将具有多个单独的认证区域。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/8258
复制相关文章
相似问题
腾讯云开发者
