当尝试对myApp nessus进行凭据扫描时,它将登录很多次,但仍然不检查我的应用程序上的身份验证。(我检查了系统日志) 它不会调用我制作的servlet(http://ipAdress/myApp/nessus)
我将http登录表单类型添加到了凭据
第一个字段是用户名
第二个字段填充了密码的哈希值(我的应用程序使用哈希值以提高安全性)
第三/myApp/login.html
然后/ myApp / j_spring_security_check
和j_username =%USER%&j_password =%PASS%
so / myApp / nessus(它返回一个包含“您已登录”的html)
最后是正则表达式:“您已登录”
但最终,它不会将扫描视为凭据扫描,并且不会抓取我的应用程序api
在报告中显示“凭据检查:否”