这是一则信息通知，指出扫描程序能够使用未经身份验证的浏览器找到身份验证检查模式。这表示扫描程序无法验证身份验证是否成功。

扫描程序检测到存在受“摘要式”身份验证保护的网页。

扫描程序检测到存在受“NTLM”身份验证保护的网页。

扫描程序检测到存在受“持有者”身份验证保护的网页。

当扫描程序无法使用扫描策略中提供的客户端证书身份验证凭据对 Web 应用程序进行身份验证时，就会触发此插件。

检查插件的输出，以获得有关扫描所遇到问题的说明。

这是一则信息通知，表明扫描程序已成功使用扫描策略中提供的客户端证书身份验证凭据对 Web 应用程序进行了身份验证。

当扫描程序无法使用扫描策略中提供的 Kerberos 身份验证凭据对 Web 应用程序进行身份验证时，就会触发此插件。

检查插件的输出，以获得有关扫描所遇到问题的说明。

这是一则信息通知，表明扫描程序已成功使用扫描策略中提供的 Kerberos 身份验证凭据对 Web 应用程序进行了身份验证。

扫描程序通过使用弱的或可预测的凭据，成功地在 Weblogic 控制台上进行了身份验证。

扫描程序通过使用弱的或可预测的凭据，成功地在 Drupal 管理面板上进行了身份验证。

扫描程序通过使用弱的或可预测的凭据，成功地在 Wordpress 管理面板上进行了身份验证。

扫描程序通过使用弱的或可预测的凭据，成功地在 Joomla 管理面板上进行了身份验证。

扫描程序通过使用弱的或可预测的凭据，成功地在 Magento 连接管理器上进行了身份验证。

扫描程序通过使用弱的或可预测的凭据，成功地在 Magento 管理面板上进行了身份验证。

扫描程序通过使用弱的或可预测的凭据，成功地在目标 Apache Tomcat 管理器界面上进行了身份验证。

扫描程序通过使用请求基本身份验证 HTTP 标头中的弱凭据，成功地在目标 Web 应用程序上进行了身份验证。

扫描程序检测到存在受“基本”身份验证保护的网页。

扫描程序通过在其登录表单上使用可预测的凭据，成功地在目标 Web 应用程序上进行了身份验证。

当扫描程序无法使用扫描策略中提供的持有者身份验证凭据对 Web 应用程序进行身份验证时，就会触发此插件。

检查插件的输出，以获得有关扫描所遇到问题的说明。

这是一则信息通知，表明扫描程序已成功使用扫描策略中提供的持有者身份验证凭据对 Web 应用程序进行了身份验证。

当扫描程序无法使用扫描策略中提供的 API 密钥凭据对 Web 应用程序进行身份验证时，就会触发此插件。

检查插件的输出，以获得有关扫描所遇到问题的说明。

这是一则信息通知，表明扫描程序已成功使用扫描策略中提供的 API 密钥凭据对 Web 应用程序进行了身份验证。

Web 应用程序使用会话来保留每个用户的信息、跟踪他们的活动或定义适当的访问权限和许可。每个会话都有一个由应用程序定义的标识符（标记或 ID），用于将用户绑定到其 HTTP 流量，此标识符暂时等同于经身份验证会话的应用程序使用的最高身份验证方法。

URL 通常用于在用户和应用程序之间交换信息，有时可能包含会话标记。由于 URL 可以在各种位置（如代理和服务器 Web 日志、引用 HTTP 标头等更多位置）记录或泄露，敏感会话标记可能被泄漏，并被恶意行为者用于尝试进行会话固定或劫持攻击。

扫描程序在进行经身份经验证的扫描期间，收集了应用程序返回的会话 Cookie。该列表包含每个 Cookie 的以下信息：
 - 名称：Cookie 的名称
 - 值：Cookie 的值
 - 域：Cookie 将被发送到的主机
 - 路径：发送 Cookie 之前请求的资源中必须存在的 URL 路径
 - HttpOnly：Cookie 设置为无法通过 JavaScript、XMLHttpRequest 和请求 API 访问
 - 安全：仅当使用 HTTPS 发出请求时，才会将 Cookie 发送到服务器
 - SameSite：Cookie 将根据定义的策略与跨站请求一起发送
 - URL：发现的首个在响应中设置 Cookie 的 URL
 - Set-Method：应用程序用于设置 Cookie 的方法（Set-Cookie 或 JavaScript）

Web 会话是给定时间范围内由用户发起的一组 HTTP 事务。Web 应用程序使用会话来保留每个用户的信息、跟踪他们的活动或定义适当的访问权限和许可。每个会话都有一个由应用程序定义的标识符（标记或 ID），用于将用户绑定到其 HTTP 流量，此标识符暂时等同于经身份验证会话的应用程序使用的最高身份验证方法。

通过针对会话管理机制，攻击者可以劫持其他用户的会话以冒充这些用户，并在应用程序中使用其权限或访问敏感信息。

远程 Web 服务器包含由“基本”身份验证通过明文保护的网页。

窃听流量的攻击者可获取有效用户的登录和密码。

当扫描程序已注销，并且无法使用扫描策略中提供的选项重新对 Web 应用程序进行身份验证时，就会触发此插件。这可能是因为扫描程序在扫描期间访问的某些链接导致了扫描程序所使用的会话失效，或者甚至更改了用于身份验证的账户状态。

检查插件的输出，以获得有关扫描所遇到问题的详细信息。

当扫描程序检测到其在扫描过程中已注销，但可以使用扫描策略中提供的选项重新对 Web 应用程序进行身份验证时，就会触发此插件。这种情况可能发生在扫描程序访问了一个导致会话被关闭的链接时。

检查插件的输出，以获得有关扫描所遇到问题的详细信息。

这是一则信息通知，表示扫描程序识别到一个潜在的登录表单，扫描程序可使用该表单进行身份验证并访问其他页面，以扩展其覆盖范围。

当扫描程序无法对 Web 服务器进行身份验证以访问受 HTTP 服务器身份验证保护的页面时，就会触发此插件。检查插件的输出，以获得有关扫描所遇到问题的说明。

这是一则信息通知，表明扫描程序已成功使用扫描策略中提供的 HTTP 服务器凭据对 Web 服务器进行了身份验证。

这是一条信息性通知，表明扫描程序已使用 HTTP 服务器身份验证识别出受 Web 服务器保护的页面。检查插件输出以获得有关身份验证集和附件类型的更多信息，以了解哪些 URL 需要经过身份验证的访问权限。

当扫描程序无法使用扫描策略中提供的 Selenium 脚本对 Web 应用程序进行身份验证时，就会触发此插件。

检查插件的输出，以获得有关扫描所遇到问题的说明。

这是一则信息通知，表明扫描程序已成功使用扫描策略中提供的 Selenium 脚本对 Web 应用程序进行了身份验证。

当扫描程序无法使用扫描策略中提供的 Cookie 对 Web 应用程序进行身份验证时，就会触发此插件。

检查插件的输出，以获得有关扫描所遇到问题的说明。

这是一则信息通知，表明扫描程序已成功使用扫描策略中提供的 Cookie 对 Web 应用程序进行了身份验证。

这是一则信息通知，表明扫描程序已成功使用扫描策略中提供的登录表单凭据对 Web 应用程序进行了身份验证。

HTTP 本身为无状态协议。因此，服务器无法确定哪些请求是由哪个客户端执行的，以及哪些客户端经过身份验证或未经身份验证。

在标头内使用 HTTP Cookie 可让 Web 服务器识别每个单独的客户端，从而确定哪些客户端持有有效的身份验证信息，哪些不持有。这被称为“会话 Cookie”或“会话标记”。

为防止客户端能够猜测对方的会话标记，每当与服务器建立会话时，分配的会话标记都应当是完全随机且不同的。

当客户端能够指定其会话标记的值，并且服务器未在身份验证成功后更改会话 Cookie 的值时，就会发生会话固定。有时候，尽管用户已经多次进行身份验证，会话标记也会保持不变。

网络犯罪分子会发送包含预设会话标记的特制 URL 链接，以滥用此功能。然后，网络犯罪分子将等待受害者登录并通过身份验证。如果攻击成功，网络犯罪分子将知道一个有效的会话 ID，进而可访问受害者的会话。

扫描程序发现其能够自行设置自身的会话标记。

代理和/或负载平衡器利用源标头跟踪客户端的原始 IP 地址。

当请求通过代理传输，原始标头会被添加到现有标头中，并且客户端 IP 的值会被设置在此标头内。有时由于实施不周全，访问限制仅基于原始 IP 地址。

例如，任何公共 IP 地址可能都必须强制进行身份验证，而内部 IP 地址则不需要。

由于客户端也可设置此标头，因此网络犯罪分子可利用此标头伪造其 IP 地址，并可能获得受限制页面的访问权限。

扫描程序发现了一种其无权访问的资源，但在伪装成 localhost (127.0.0.1) 地址后便获得了相关访问权限，从而可绕过任何身份验证要求。

HTTP 协议本身是明文传输的，这意味着通过 HTTP 协议传输的任何数据都可能被截获，并且其内容可以被查看。

如要保护数据隐私并防止其被截获，HTTP 通常会通过安全套接字层 (SSL) 或传输层安全 (TLS) 进行加密传输。当使用这两种加密标准中的任意一种时，这种协议被称为 HTTPS。

网络犯罪分子经常尝试利用 HTTP 协议，来试图破坏从客户端传递到服务器的凭据。这可以通过各种不同的中间人 (MiTM) 攻击或通过网络数据包捕获的方式来进行。

扫描程序发现受影响的页面包含“password”输入，但是该字段的值未发送到使用 HTTPS 的服务器。因此，任何提交的凭据都可能遭到破坏。

在典型的基于表单的 Web 应用程序中，开发人员通常的做法是允许在 HTML 表单中启用“autocomplete”以提高页面的可用性。在默认启用“autocomplete”的情况下，浏览器可以缓存之前输入的表单值。

出于合法目的，这可让用户在多次填写表单时快速重新输入相同的数据。

当在用户名和密码字段中的任一/或两者启用了“autocomplete”时，可访问受害者计算机的网络犯罪分子可利用此缺陷，在访问受影响页面时自动输入受害者的凭据。

扫描程序已发现受影响页面中的表单包含未禁用“autocomplete”的密码字段。

当扫描程序无法使用扫描策略中提供的登录表单凭据对 Web 应用程序进行身份验证时，就会触发此插件。

检查插件的输出，以获得有关扫描所遇到问题的说明。

ID	名称	严重性
114247	在未经身份验证的浏览器中发现身份验证检查模式	info
114138	检测到摘要式身份验证	info
114137	检测到 NTLM 身份验证	info
114136	检测到持有者标记身份验证	info
113330	客户端证书身份验证失败	info
113329	客户端证书身份验证成功	info
113225	Kerberos 身份验证失败	info
113224	Kerberos 身份验证成功	info
113138	Weblogic 控制台登录表单遭到暴力破解	high
113137	Drupal 管理面板登录表单遭到暴力破解	high
113136	Wordpress 管理面板登录表单遭到暴力破解	high
113133	Joomla 管理面板登录表单遭到暴力破解	high
113118	Magento 连接管理器遭到暴力破解	high
113117	Magento 管理面板登录表单遭到暴力破解	high
113114	Apache Tomcat 管理器遭到暴力破解	high
113067	基本身份验证遭到暴力破解	high
113063	检测到基本身份验证	info
98042	登录表单遭到暴力破解	high
113013	持有者标记身份验证失败	info
113012	持有者标记身份验证成功	info
113011	API 密钥身份验证失败	info
113010	API 密钥身份验证成功	info
112799	会话标记暴露	medium
112798	检测到会话 Cookie	info
112794	检测到弱会话管理	high
98615	无 HTTPS 的基本身份验证	low
98044	注销后中止扫描	info
98043	间歇性扫描注销	info
98033	检测到登录表单	info
98026	HTTP 服务器身份验证失败	info
98025	HTTP 服务器身份验证成功	info
98024	检测到 HTTP 服务器身份验证	info
98142	Selenium 身份验证失败	info
98141	Selenium 身份验证成功	info
98140	Cookie 身份验证失败	info
98139	Cookie 身份验证成功	info
98035	登录表单身份验证成功	info
98102	会话固定	medium
98096	通过源伪造进行访问限制绕过	medium
98082	未加密的密码表单	medium
98081	具有自动完成功能的密码字段	low
98034	登录表单身份验证失败	info

检测

Web App Scanning 的 Authentication & Session 系列

info

info

info

info

info

info

info

info

high

high

high

high

high

high

high

high

info

high

info

info

info

info

medium

info

high

low

info

info

info

info

info

info

info

info

info

info

info

medium

medium

medium

low

info