Análisis Web autenticado

Esta guía proporciona un tutorial paso a paso sobre cómo ejecutar un análisis web autenticado utilizando Ostorlab.

1. Haga clic en el icono del menú a la izquierda

2. Navegue a la sección "Scanning" en el menú

3. Haga clic en la opción "New Scan"

4. Haga clic en "Web App"

Elija la opción "Web App" de los tipos de análisis disponibles.

5. Haga clic en "Continue"

6. Especifique las URL o dominios de destino

Especifique las URL o dominios de destino. Puede ingresar varias URL o dominios introduciendo cada uno en una nueva línea.

7. Haga clic en "Continue"

8. Seleccione la opción "Full Web Scan"

9. Haga clic en "Continue"

10. Opcionalmente configure ajustes de análisis avanzados

Esta sección le permite configurar ajustes de análisis avanzados opcionales, como el QPS para establecer el número máximo de consultas por segundo. Puede establecer un proxy y una expresión regular (regex) de filtro de URL.

11. Haga clic en "Continue"

Haga clic en el botón "Continue" para proceder a configurar las credenciales de prueba (test credentials).

12. Seleccione una o más credenciales de prueba predefinidas

Este paso le permite seleccionar una o más credenciales de prueba (test credentials) predefinidas o agregar nuevas. Las credenciales de prueba aumentan la cobertura del análisis dinámico.

13. Haga clic en "Test Credentials"

También puede agregar credenciales de prueba directamente haciendo clic en el botón "Test Credentials".

14. Agregar una credencial de prueba

Los tipos compatibles son:

• Login & Password
• Basic Authentication
• Email
• Credit card
• Phone Number
• Address
• Certificates
• Script: Le permite cargar un script de puppeteer. Esto puede ser muy útil para habilitar flujos de autenticación complejos o interacciones complejas como el proceso de pago (checkout).
• Custom credentials: Para campos de formulario personalizados como nombre de usuario, contraseña y nombre de dominio.
• HTTP Header: Le permite proporcionar encabezados (headers) como Authorization, User-Agent, etc.

Por ejemplo, para agregar un "Login & Password", seleccione la opción "Login & Password" en el menú de credenciales de prueba.

Ingrese el usuario, la contraseña y la URL

Ingrese el usuario, la contraseña y la URL. La credencial de prueba se agregará al análisis una vez que haga clic en submit.

15. Proporcionar un User-Agent personalizado

The HTTP User-Agent request header lets servers identify the application, vendor, and/or version of the requesting user agent.

Ostorlab uses a user agent when scanning web applications. However, users might sometimes want to provide their User Agent of choice to be used during the scan. To do so, simply add an HTTP Header Test Credential.

1. Optionally enter a label to easily identify this test credential, e.g. "Custom User Agent".
2. In the name field, enter User-Agent.
3. In the value field, enter your User Agent of choice, e.g. Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36.

When running an authenticated web scan, you can select this test credential in the "Set scan credentials" step and the web application will be scanned using the custom user agent.

16. Haga clic en "Submit"

Haga clic en el botón "submit" para crear el análisis.

17. Haga clic en "Show"

Se creará el análisis web. Puede hacer clic en "Show" en la alerta para ir a la lista de análisis.

En esta guía, ha aprendido cómo ejecutar un análisis web autenticado utilizando Ostorlab. Las instrucciones cubrieron la configuración de los ajustes de análisis, la adición de URL y dominios, y la autenticación con credenciales de inicio de sesión. Siguiendo estos pasos, puede asegurar un análisis web exhaustivo y seguro para sus aplicaciones.