Skip to main content

Menggunakan Authenticated Scan

Deskripsi Authenticated Scan

Authenticated Scan adalah fitur yang memfasilitasi pemindaian keamanan pada aplikasi yang memerlukan authentication atau kredensial dengan memanfaatkan cookie dan form. Fitur ini kompatibel dengan arsitektur Monolith dan Microservice untuk memastikan cakupan menyeluruh pada area aplikasi yang dilindungi.

Catatan

Untuk menggunakan fitur authentication, pengguna harus terlebih dahulu mengikuti langkah-langkah scanning. Setelah itu, pengguna memilih alat Website Scanner karena hanya alat Website Scanner yang memiliki fitur Authentication. Kemudian, aktifkan fitur Authentication dengan mengklik Enabled Authentication, maka akan tampila pengisian Session Cookies dan Form. Pengguna juga dapat memilih untuk menerapkannya pada layanan Monolith atau Microservice.

Steps Using Authenticated Scan

Cookies Capture Form Capture Pengguna dapat mengikuti langkah-langkah berikut.

  1. Pilih Jenis Layanan, Monolith atau Microservice.
  2. Pilih metode penetrasi, Session Cookies atau Form.
  3. Untuk pengisian Session Cookies, klik bagian Session Cookies dan lengkapi kolomnya. Session Cookies adalah metode penetrasi yang akan membajak browser session yang disimpan dalam Cookie sehingga Helium dapat berinteraksi dengan website menggunakan Session seseorang. Pengguna dapat melihat contoh yang telah tertera.
  4. Inputkan URL dari suatu halaman yang hanya dapat diakses setelah pengguna berhasil Login pada kolom URL After Login.
  5. Inputkan URL untuk melakukan Logout pada kolom Logout Form URL.
  6. Inputkan kalimat/kata unik yang mengindikasikan bahwa pengguna sudah berada di dalaman halaman yang diinput pada nomor 3 pada kolom Login Success Indicator. Ini digunakan sebagai alat pengecekan yang memastikan bahwa Helium berhasil masuk ke dalam halaman yang diinput pada nomor 3.
  7. Inputkan kalimat/kata unik yang mengindikasikan bahwa pengguna belum melakukan Login pada kolom Logout Success Indicator (opsional). Ini digunakan sebagai alat pengecekan yang memastikan bahwa Helium belum melakukan Login.
  8. Inputkan Cookies pada kolom Cookies. Cookies ini harus diambil dari halaman/endpoint yang dilindungi oleh otentikasi. Cookies Capture
  9. Inputkan Header pada kolom Header (opsional). Headers ini harus berisi nilai yang mengindikasikan tanda otorisasi untuk mengakses halaman yang dilindungi otentikasi dan otorisasi.
  10. Untuk pengisian Form, klik bagian Form dan lengkapi kolommnya. Form adalah metode penetrasi yang akan mengirimkan permintaan Login dengan kredensial yang diberikan sehingga Helium dapat menerima izin otorisasi ke dalam aplikasi layaknya pengguna menginput kredensial secara manual ke dalam form login. Pengguna dapat melihat contoh yang telah tertera.
  11. Inputkan URL yang digunakan untuk mengirimkan permintaan POST untuk keperluan otentikasi aplikasi pada kolom Login Form URL.
  12. Inputkan URL letak halaman untuk menginput kredensial pada form untuk keperluan otentikasi pada kolom Login Page URL (opsional).
  13. Inputkan nilai mentah (raw value) dari kredesial di Request Payload untuk keperluan otentikasi pada kolom Login Request Payload.
  14. Inputkan URL untuk melakukan logout pada kolom Logout Form URL.
  15. Inputkan kalimat/kata unik yang mengindikasikan bahwa pengguna sudah berada di dalaman halaman yang diinput pada nomor 3 pada kolom Login Success Indicator. Ini digunakan sebagai alat pengecekan yang memastikan bahwa Helium berhasil masuk ke dalam halaman yang diinput pada nomor 3.
  16. Inputkan kalimat/kata unik yang mengindikasikan bahwa pengguna belum melakukan Login pada kolom Logout Success Indicator (opsional). Ini digunakan sebagai alat pengecekan yang memastikan bahwa Helium belum melakukan Login.
  17. Inputkan Cookies pada kolom Cookies. Cookies ini harus diambil dari halaman/endpoint yang dilindungi oleh otentikasi. (Lihat Langkah 8)
  18. Inputkan Header pada kolom Header (opsional). Headers ini harus berisi nilai yang mengindikasikan tanda otorisasi untuk mengakses halaman yang dilindungi otentikasi dan otorisasi.
  19. Klik tombol Check Authentication untuk memastikan bahwa cookie yang digunakan valid untuk pengujian. Form Capture
  20. Jika Autentikasi Berhasil, klik checkbox agree Terms of Service
  21. Klik tombol Start Scan untuk memulai scan, dan klik Cancel jika ingin membatalkan