Web端安全测试--IBM Security AppScan Standard 工具使用手册

已于 2024-04-12 04:38:03 修改
阅读量1.3k 收藏 27
点赞数 25
分类专栏: 2024年程序员学习 文章标签: 前端
于 2024-04-12 04:38:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_83739777/article/details/137661801
版权

1、工具的使用原理

1.1工作原理

(1)通过探索了解整个web页面结果
(2)通过分析,使用扫描规则库对修改的HTTP Request进行攻击尝试
(3)分析 Response 来验证是否存在安全漏洞

1.2 AppScan的工作过程阶段

主要会涉及三个阶段

阶段一爬行网站,访问网站的所有页面,从而确定网站的一个整体架构,这里的架构只所所有代码架构,包含前端的页面代码和后台的页面代码。
阶段二得到网站架构后,对网站发起访问请求,并使用AppScan的规则库里的规则对测试对象发起模拟攻击,这个测试并不需要用到服务器的权限,等同于“黑盒扫描”
阶段三对测试对象发起攻击后,服务器会给出相应的返回,得到返回数据,AppScan会对攻击后的反馈数据与正常的访问返回数据进行对比,在根据自身的规则库进行对比,从而得分析是否存在安全漏洞,并从规则库中申请相应的修改建议。

2、工具的操作步骤

2.1 基本思路:自动探索–特殊配置–手动探索–仅测试–导出报告

2.2 AppScan下载安装

安装路径见附件,附件包含两个文件,分别是

APPScan_Std_9.0.3.5_Eval_Win.exe安装主程序
LicenseProvider.dll破解文件

注意:将附件中的LicenseProvider.dll与文件中的LicenseProvider.dll替换掉,破解.exe文件

2.3 AppScan操作手册

(1)打开AppScan扫描工具,点击【新建】,选择【常规扫描】,会展示扫描配置向导弹窗页面,如下图操作

 (2)点击【完全扫描配置】到扫描配置页面,AppScan支持web service项目的安全检测,但是需要填写相关的配置。

(3)扫描配置-URL和服务器:起始URL输入我们要扫描网站的网址,如果网站包含其他域名,可在其他服务器和域进行添加。

(4)扫描配置-登录管理:扫描的网站如果不需要登录点击无,若涉及登录点击【记录】选项

注意:若需要登录,则点击【记录】按钮,默认使用AppScan浏览器打开网址,输入账号密码登录成功后,登录序列就会被记录,由于记录登录需要借助CA认证整数获取,本文以页面非登录验证。

(5)扫描配置-环境定义:这里可不修改,直接使用默认环境定义。

(6)扫描配置-排除路径和文件:对一些不需要的网址、图片、文件或者会影响扫描的网址做一个过滤操作。(可能会提高扫描速度和效率),可使用默认。

(7)扫描配置-探索选项(冗余路径和深度路径可以进行适当的设置,其他选项可选择进行设置或者全部使用默认)。

(8)扫描配置-参数和cookie、自动表单填充、错误页面、多操作步骤、基于内容的结果:可使用默认配置(如有需要可进行配置,不需要可默认配置。

(9)扫描配置-Glass box:对系统安全性要求比较高可以进行配置(配置后扫描更准确,可能扫描出来的安全性问题较多)一般不使用这种配置。

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
img
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!

由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新

如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
img

本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。

最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。

最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!下面就开始进入正题,如何从一个萌新一步一步进入网络安全行业。

学习路线图

其中最为瞩目也是最为基础的就是网络安全学习路线图,这里我给大家分享一份打磨了3个月,已经更新到4.0版本的网络安全学习路线图。

相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。

网络安全工具箱

当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份我自己整理的网络安全入门工具以及使用教程和实战。

项目实战

最后就是项目实战,这里带来的是SRC资料&HW资料,毕竟实战是检验真理的唯一标准嘛~

面试题

归根结底,我们的最终目的都是为了就业,所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过!

一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
img

的亲身经验打磨的面试题合集你绝对不能错过!

一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
[外链图片转存中…(img-zExGOwib-1712867866240)]

2401_83739777
关注
专栏目录
IBM Security AppScan Standard 使用方法,本人实践》
【✎__三味書屋】的博客
11-15 3万+
欢迎大家访问!!^_^
IBM Security AppScan Standard:扫描和分析结果
cuyi7076的博客
07-09 956
IBM®SecurityAppScan®Standard通过扫描应用程序,识别漏洞并生成带有智能修订建议的报告来自动化应用程序安全测试,以简化补救措施。 它在整个开发过程中提供静态和动态的应用程序安全性测试。 在本文中,观看视频演示以了解如何配置IBM Security AppScan来对新应用程序进行动态扫描,然后使用五步过程来分析扫描结果。 您还可以跟随一个案例研究,该案例演示如何使用...
安全工具 | AppScan漏洞扫描工具标准版免费安装、配置及使用指导(附工具下载链接)
最新发布
Javachichi的博客
07-13 808
使用业界最强大的DAST扫描引擎,内置数万个扫描规则,支持自动检索目标应用程序并测试漏洞;:测试结果按优先级排列,允许测试人员快速分类问题、发现最关键的漏洞;:检测到的每个问题都将提供清晰且可操作的修复建议,可以指导开发人员快速修复安全问题;:持续测试和评估网页服务和应用程序风险有助于防止破坏性的安全漏洞的出现,减轻测试及运维人员压力极大地提升效率。HCL Software 是 HCL Technologies(HCL) 的一个部门,负责运营其主要软件业务。
AppScan安全扫描工具-IBM Security App Scan Standard
热门推荐
学习那点事儿的专栏
06-19 5万+
1、AppScan是什么? AppScanIBM的一款web安全扫描工具,可以利用爬虫技术进行网站安全渗透测试,根据网站入口自动对网页链接进行安全扫描,扫描之后会提供扫描报告和修复建议等。 AppScan有自己的用例库,版本越新用例库越全(用例库越全面,对漏洞的检测较全面,被测试系统的安全性则越高) 工作原理: 1)通过探索了解整个web页面结果 2)通过分析,使用扫描规则库对修改的H...
AppScan--图解Web扫描工具IBM Security App Scan Standard
六月心悸
11-23 1万+
公司要扫描个Web系统漏洞,所以就简单的学习了下。 App Scan用法: 首先打开IBM Security AppScan Standard 工具 点击 创建新的扫描 ->  点击”常规扫描“ ->之后你就会看到如下图: 这里你可以直接点击 ”下一步“ 或是点击 ”完整扫描配置“ 先点击 ”完整扫描配置“ URL 和服务器
IBM安全测试工具
jad's blog
12-16 430
网站入侵检测工具 测试SQL脚本注入、跨站脚本、缓存之类的。。 Rational AppScan下载页面
IBM Security AppScan安装包
06-26
IBM Security AppScanIBM推出的一款应用安全测试工具,可以帮助开发人员和测试人员发现Web应用程序的安全漏洞并提供详细的修复建议。该工具主要集中在应用安全领域中,包括黑盒测试、灰盒测试、白盒测试、漏洞扫描...
网站漏洞扫描工具 IBM Security AppScan Standard使用
山间明月江上清风的专栏
12-19 3770
软件可以去官网下载,有30天免费使用: https://www.ibm.com/us-en/marketplace/appscan-standard 不过官网下载还要注册挺繁琐的,如果想省点事国内百度搜一下也有资源。 按照好后打开软件: create new scan -> regular scan -> full scan configuration 登录管理配置: ...
ibm security appscan standard安装包
01-13
IBM Security AppScan Standard是一款专业的应用程序安全性测试工具,旨在帮助企业发现和修复应用程序中的安全漏洞。安装包是用于安装和部署该软件的文件或集合,通常包括程序文件、库文件、配置文件等。对于IBM ...
AppScan使用手册.doc
03-30
简单使用AppScan进行漏洞扫描
AppScan 入门手册
09-07
AppScan其实是一个产品家族,包括众多的应用安全扫描产品,从开发阶段的源代码扫描的AppScan source edition,到针对WEB应用进行快速扫描的AppScan standard edition.以及进行安全管理和汇总整合的AppScan enterprise Edition等,我们经常说的AppScan就是指的桌面版本的AppScan,即AppScan standard edition.其安装在Windows操作系统上,可以对网站等WEB应用进行自动化的应用安全扫描和测试。
IBM AppScan安全测试工具 版本9.0.3.6(附有破解文件LicenseProvider.dll)可放心下载
05-22
IBM® Security AppScan® 能提高 Web 应用安全性和移动应用安全性,改善应用安全项目的管理,并增强法规一致性。通过在部署之前扫描 Web 和移动应用,检测Web应用安全性和移动应用安全性, AppScan 帮助您识别安全漏洞并生成报告和修复建议。
APPscan9.0基本使用说明书
01-16
APPscan9.0基本使用说明书,详细介绍appscan9.0的使用方式。
IBM security appscan
Alice__Time的博客
01-22 321
工具使用 安装 如果是往塔台上安装的话,不要安装在系统默认的路径下,另存一个目录,就有操作权限了 环境部署 打开界面后,展示如下 选择常规扫描 输入被测系统,登录系统,点击我已登录,等待系统自动记录登录密码和用户名 选择框中的两种模式的都有,暂时不太清楚应该选哪个 保存文件后,自动探索,可以随时关注进度 结果展示和保存报告 问题 注意,第一次点击执行后不会立刻执行,需要检查完环境...
IBM Security AppScan Standard 用外部设备录制脚本(手机应用、app、微信等)进行安全测试...
dkdeuyv9165的博客
07-06 605
一、打开AppScan,选择外部设备/客户机,点击下一步 二、记录代理设置,可以手动输入需要的口号,也可以自动选择,记住口号以及PC电脑的ip地址,手机如何设置对应的口跟ip可以参考 Jmeter(十三)用Jmeter自带录制工具代理录制手机应用脚本APP脚本,原理是一样的 三、SSL证书,点击下一步 四、登陆管理,点击下一步, 选择“是” 五、...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值