修改了JS页面,Appscan重新测试时仍能够扫描出问题

最新推荐文章于 2024-04-26 17:25:25 发布
最新推荐文章于 2024-04-26 17:25:25 发布
阅读量2.4k 收藏 1
点赞数
分类专栏: Appscan 文章标签: 安全 测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012209424/article/details/78356685
版权

项目要求进行安全扫描,指定使用神器Appscan。在扫描过程中报出一个高级安全漏洞,基于 DOM 的跨站点脚本编制。报错页面是一个js页面,代码如下:
这里写图片描述
将问题报给开发后,开发将该行删除,使用浏览器访问发现,该js代码已更新,如下:
这里写图片描述
但是在Appscan重新测试时,仍报出同样问题,仍是该行代码。
反复查找原因,仍未找到解决办法。最终重新手动探索,再次测试时,发现没有该问题了。对比两次探索脚本数据,才发现问题所在:
这里写图片描述
左侧是使用AppScan重新探索数据,右侧是原始数据,多次重新测试。
Appscan在重新测试js页面时,并不会重新请求该页面内容,而是使用已经探索到的数据测试,所以当开发修改js页面后,再次测试时,要重新探索该页面,再次测试,结果才准确。
重新探索可以采用两种方法:
1.重新创建一个扫描文件,手动探索出该页面后,只扫描该页面
2.在原始探索数据中,点击右键,选择手动探索,将再次探索到的数据添加到该scan数据文件中,再次测试。
开始使用时,在选项中已设置使用外部浏览器,以为只要浏览器没有缓存,就不会影响Appscan的扫描结果,事实证明这种想法是有问题的,对Appscan的学习还不够。

Coby_Wang
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
AppScan安全测试总结.docx
06-30
AppScan是IBM公司的一款Web应用安全测试工具,采用黑盒测试的方式,可以扫描常见的web应用安全漏洞。 其工作原理,首先是根据起始页爬取站下所有可见的页面,同测试常见的管理后台;获得所有页面之后利用SQL注入原理进行测试是否存在注入点以及脚本攻击的可能;同还会对cookie管理、会话周期等常见的web安全漏洞进行检测。 AppScan功能十分齐全,支持登录功能并且拥有十分强大的报表。在扫描结果中,不仅能够看到扫描的漏洞,还提供了详尽的漏洞原理、修改建议、手动验证等功能。
如何有效的使用AppScan扫描大型网站(1).docx
09-20
如何有效的使用AppScan扫描大型网站(1).docx
IBM Security AppScan Standard:扫描和分析结果
cusi77914的博客
06-30 974
IBM®SecurityAppScan®Standard通过扫描应用程序,识别漏洞并生成带有智能修订建议的报告来自动执行应用程序安全测试,以简化补救措施。 它在整个开发过程中提供静态和动态的应用程序安全测试。 在本文中,观看视频演示以了解如何配置IBM Security AppScan来对新应用程序进行动态扫描,然后使用五步过程来分析扫描结果。 您还可以跟随一个案例研究,该案例演示使用A...
如何更有效使用 Rational AppScan 扫描大型网站,第 1 部分: 工作原理及技术分析...
weixin_33749242的博客
08-22 182
近来看到AppScan的技术介绍,感觉不错,与同行分享。 Rational AppScan(简称 AppScan)其实是一个产品家族,包括众多的应用安全扫描产品,从开发阶段的源代码扫描AppScan source edition,到针对 Web 应用进行快速扫描AppScan standard edition,以及进行安全管理和汇总整合的 AppScan enterprise Editi...
AppScan安全扫描-系统漏洞解决方法
热门推荐
qq_27512271的博客
10-11 1万+
1、AppScan简介 Rational AppScan(简称 AppScan)其实是一个产品家族,包括众多的应用安全扫描产品,从开发阶段的源代码扫描AppScan source edition,到针对 Web 应用进行快速扫描AppScan standard edition,以及进行安全管理和汇总整合的 AppScan enterprise Edition 等。我们经常说的 AppSca...
AppScan扫描安全问题解决实录-站点脚本编制
yaovirus的专栏
05-15 1736
问题分析 未对用户可控制的输入正确进行无害化处理,就将其放置到充当 Web 页面的输中。这可被站点脚本编制攻击利用。 白话解析:攻击者将脚本作为参数发送到被攻击的接口,然后接口直接返回语句到页面,那么页面就会执行攻击者的脚本。攻击者可以利用脚本获取token、cookie等信息,进而下一步攻击。 解决方案一 Apache配置解决方案: 1开放module LoadModule security2_module modules/mod_security2.so 2添加如下配置 <If
AppScan测试问题如何重现来?
weixin_42874924的博客
12-01 587
我们在给开发appscan的报告,开发需要修改,但是往往需要重现问题好调整代码,这要怎么处理 举例: 1.这是一条sql盲注的错误,但是这份报告刷新的日志肯定现在无法在idea的后台重现,也不可能去重新扫描,这是我先想到了手动测试 2.找到先要手动测试的数据,选择“发送请求前登录”,点击发送 3.实际的结果却是,未登录 4.没有登陆成功,为什么? 按照我的设置应该是会登陆的,查看手动测试一下提交的信息 发现Cookie中好像有session,会不会是session过期了,有道理 5.删除sessi
web安全测试---AppScan扫描工具详解和测试方法说明
HRD的博客
08-27 6432
安全测试应该是测试中非常重要的一部分,但他常常最容易被忽视掉。尽管国内经常现各种安全事件,但没有真正的引起人们的注意。不管是开发还是测试都不太关注产品的安全。当然,这也不能怪我们苦B的“民工兄弟”。因为公司的所给我们的间与精力只要求我们对产品的功能的实现以及保证功能的正常运行。一方面于侥幸心理。谁没事会攻击我?关于安全测试方面的资料也很少,很多人所知道的就是一本书,一个工具。...
关于appscan的一些问题
MaNaiLing的博客
09-28 1346
1、关于软件更新 针对于现有的开发技术,9.0版本已经不能继续支持扫描,所以会一直显示所访问url是否可以访问,实际服务器已经连接成功,办法更换10.0以上版本。 2、针对有验证码的登陆界面,无法进行正常扫描,解决办法就是手动登陆记录。过程可参考 IBM Appscan之手动探索(先探索、后测试)_bsqc_2019的博客-CSDN博客 ...
Web安全扫描工具:Appscan安装和使用,无偿分享安装包与教程
顶峰
09-25 953
AppScan安装与使用
appscan漏洞扫描工具
07-12
appscan漏洞扫描工具: AppScan的安装 1、解压安装包,双击AppScan_Setup_10.0.0.exe运行,默认下一步安装完成即可。 2、将AppScanStdCrk文件夹中的rcl_rational.dll和AppScanStandard.txt复制到安装根路径下,覆盖...
漏洞扫描工具appscan
11-26
对于一些网络安全管理人员、或者运维工程师等人来说,拥有趁手而实用性强的安全测试软件是很有必要的,Appscan就是这样一款软件。它可以支持多种分析方法,不同的分析方法适用于不同的分析要求和条件,可分析范围很...
扫描测试工具渗透测试appscan10
09-20
扫描测试工具 渗透测试 appscan10
AppScan扫描网站策略
11-01
AppScan是IBM的web安全扫描工具,利用爬虫技术对网站进行安全渗透测试,本文档详细记录了怎么用AppScan对网站进行安全测试
如何在Android应用中安全地使用SQLite数据库,并通过SQLCipher进行加密保护
轻描时光
04-23 63
Android内置SQLite轻量级关系型数据库,可以在Android应用中存储、检索和管理结构化数据。SQLite是一个无服务器的、零配置的、事务性的SQL数据库引擎,非常适合用于移动设备和桌面应用程序中。:SQLite不需要单独的服务器进程或操作系统级别的配置。可以直接读写磁盘上的文件,非常高效且适合在资源有限的移动设备上使用。:SQLite支持ACID事务,提供了原子性、一致性、隔离性和持久性。保证了即使在发生故障的情况下,数据的完整性也能得到维护。
安装SSL证书之后还会有不安全提示怎么办?
JoySSL230907的博客
04-20 801
在这里,你可以申请到免费单域名证书、免费多域名证书以及免费通配符证书。在这里,你可以申请到免费单域名证书、免费多域名证书以及免费通配符证书。- 证书链完整性:确保您不仅安装了主证书,还包含了所有必要的中间证书。缺少中间证书可能导致浏览器认为证书不可信。- 清除浏览器缓存:浏览器可能缓存了旧的或错误的证书信息,清除缓存有助于加载新安装的证书。永久免费SSL证书_永久免费https证书_永久免费ssl证书申请-JoySSL。永久免费SSL证书_永久免费https证书_永久免费ssl证书申请-JoySSL。
境电商测评攻略:如何安全有效地提升业绩?
zcwz888的博客
04-23 306
但自养号需要解决技术层面的问题,如果是买设备或者软件这种,可能上一秒还能用,下一秒就因为平台风控的原因批量封号,因为平台会通过ip 获取到设备的型号,地区码,监管码,主板码,WIFI地址,甚至是颜色,指纹码,IP地址等等大概几十个参数,参数关联后,触发平台机审,导致的砍单,封号。这候要好好规划一下测评的事情,做美客多到最后你会发现,测评是最有效果的,因为测评的本质就是玩弄流量,模仿用户的真实行为让流量变得更多,从而得到境电商平台规则的加成,竞争激烈的产品不测评和别人竞争。
严把质量关,饮片追溯系统应用,信息化追溯助力用药安全-亿发
YIFARJ的博客
04-26 122
随着国家政策的持续推动和各地的积极响应,相信中药饮片追溯系统将在未来发挥更加重要的作用,有助于中药饮片行业提升质量水平,净化市场环境,增强消费者对中药饮片的信任度,促进中医药产业的健康发展和可持续性增长。追溯体系可以追踪和记录药材的种植、采集、加工等全过程信息,为质量监管提供数据支持,有效防止低质量或假冒伪劣药材进入市场,保障中药饮片的品质。通过建立追溯体系,消费者可以查询药材的来源、加工过程和质量检测等关键信息,选择可靠的中药产品,提高用药安全性,避免因药材质量问题导致的用药风险。
五一节前的信息系统的安全保障工作
最新发布
04-26 472
五一将近,为了能安心度假,节前做好安全保障室非常有必要的。 保障流程可以全面、有效地保障网络信息系统的安全性,提高系统的可靠性和稳定性。同,还需要加强安全管理,完善内部控制机制,提高人员的安全意识和技能水平,以更好地保障网络信息系统的安全性。 保障内容确保通过对网络信息系统的安全保障检查,可以有效地提高系统的安全性,防范潜在的安全威胁和风险。 在执行关闭网络信息系统的流程,需要确保操作人员具备相关的技能和经验,以及对系统关闭过程中可能现的问题有充分的准备和应对措施。
APPscan扫描测试环境是OK的,但是扫描预发布环境就不行,请问是什么原因
07-12
可能有几个原因导致APPscan在预发布环境中无法正常扫描: 1. 网络配置问题:预发布环境可能与测试环境存在不同的网络配置。请确保预发布环境的网络配置与测试环境一致,包括网络访问权限和防火墙设置。 2. 授权问题:预发布环境可能需要单独的授权才能进行扫描。请检查是否已经为预发布环境申请了合适的授权,并且确保授权信息正确无误。 3. 代码差异:预发布环境的代码可能与测试环境存在差异,导致APPscan无法正确识别和扫描应用程序的漏洞。请确保预发布环境中的代码与测试环境保持一致,并尽可能将测试环境中发现的问题修复到预发布环境中。 4. 环境配置问题:预发布环境可能缺少一些必要的配置,导致APPscan无法正常运行。请检查预发布环境的配置文件和依赖项,确保环境配置正确。 如果以上方法仍然无法解决问题,建议联系APPscan的技术支持团队,向他们咨询关于预发布环境扫描的特殊要求或可能存在的问题。他们可能会提供更具体的解决方案

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值