Web漏洞扫描工具AppScan、AWVS测评及使用体验(非常详细)零基础入门到精通,收藏这一篇就够了

最新推荐文章于 2024-08-07 22:06:56 发布
最新推荐文章于 2024-08-07 22:06:56 发布
阅读量579 收藏 6
点赞数 4
分类专栏: 程序员 互联网 计算机 文章标签: 前端 网络安全 安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Python_0011/article/details/140341677
版权
程序员 同时被 3 个专栏收录
642 篇文章 102 订阅
订阅专栏
计算机
563 篇文章 10 订阅
订阅专栏
互联网
477 篇文章 4 订阅
订阅专栏

AppScan和AWVS业界知名的Web漏洞扫描工具,你是否也好奇到底哪一个能力更胜一筹呢?接下来跟随博主一探究竟吧。

1. 方案概览

  • 第一步:安装一个用于评测的Web漏洞靶场(本文采用最知名和最广泛使用的靶场,即OWASP Benchmark);

  • 第二步:分别使用两款工具对靶场进行漏洞扫描,扫描参数尽量保持一致;

  • 第三步:从多维度对比分析扫描过程和扫描结果。

两者的扫描报告概览如下:

AWVS

AppScan

2. 具体实施

2.1. 环境信息

本次测评所用的基础环境和工具版本信息如下:

  • 操作系统 Windows 10 (OS)

  • OWASP benchmark V1.2 (漏洞靶场)

  • AppScan 10.0.8 (评测工具AppScan)

  • AWVS 15.0.221007170 (评测工具AWVS)

若对评测过程感兴趣,大家可以自己动手实操,所需要的基础环境和工具安装配置指导可以参阅博主前期文章:

2.2. 测试步骤

2.2.1. 启动靶场项目OWASP Benchmark

启动OWASP Benchmark项目,项目启动成功后可以通过URL访问靶场,本例中启动靶场地址为https://local:8443/benchmark/

OWASP benchmark V1.2

2.2.2. AWVS扫描

1、在AWVS上创建扫描任务,参数配置如下:

  • 扫描策略:Full Scan,即全量扫描;

  • 扫描速度:Fast,即AWVS的最快速度扫描

  • 其他参数默认

扫描参数

2、按以上配置执行扫描,扫描完成后可以界面上看到扫描结果。

扫描报告

3、进入报告详情界面查看并下载报告

AWVS扫描报告概览

AppScan扫描报告概览

2.2.3. AppScan扫描

1、打开AppScan客户端,创建扫描任务,参数配置如下:

  • 扫描策略:Full Scan,即全量扫描;

  • 扫描速度:Fast,即快速度扫描

  • 其他参数默认

扫描参数

2、启动AppScan扫描任务,可以看到CPU直接爆满

CPU利用率

整个扫描过程比较漫长,需要耐心等待~。(6个半小时,任务进度才执行到一半,已经发出了89万+个扫描请求)

AppScan扫描进度界面

3、扫描完成后查看并下载报告

2.3. 报告对比分析

完成以上两款工具对同一靶场的扫描后我们可以得到如下扫描报告:

  • AppScan OWASP benchmark扫描报告.pdf (下载链接:https://url25.ctfile.com/f/1848625-1319968537-7997d1?p=6277,访问密码: 6277)

  • AWVS OWASP benchmark扫描报告.pdf (下载链接:https://url25.ctfile.com/f/1848625-1319968480-a18821?p=6277,访问密码: 6277)

接下来我们按以下维度进行简单对比:

由于扫描报告涉及到的漏洞较多,高达上千个,博主暂时未来得及将扫描的问题进行分类比较,接下来有时间会将两者的扫描报告与OWASP Benchmark 的基准漏洞做次对比,用于评测两款工具针对Benchmark漏洞靶场的误报率和漏报率。

注:如果有感兴趣的读者可以基于上面两份扫描报告自行分析,希望能够将分析结果留言分享大家互相学习。

2.4. 总结

AppScan有业界最强悍的规则库,AppScan的规则库内置了超过1.2万个测试用例,测试用例最全,所以AppScan扫描的问题更多,扫描时长也较久;AWVS扫描SQL 注入和跨站脚本的能力较专,误报相对较低,扫描时长较短。建议企业在日常测试流程中使用AWVS,在针对重点或高风险版本使用AppScan进行查漏补缺。

  1. 更多对比
    =======

上面章节仅介绍了AppScan与AWVS的简单使用对比,如果企业/组织想选型一款合适的Web漏洞扫描工具,可以参阅博主总结的功能详细对比清单,希望能让你在选型时不再纠结。大家对工具选型纠结的原因无非就是对工具的功能和使用体验了解不全面,毕竟这些事情博主已经帮助大家提前摸索过了。

注:以上对比项仅供参考,由于工具版本更新或服务条款变化,对比项可能会同步变更。毕竟博主精力有限,如果错误之处,欢迎大家留言讨论~

若需要以上对比项的Excel原件,可以关注『筑梦之月』微信公众号,并回复关键词 “20240707” 获取。

`黑客&网络安全如何学习

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。

(都打包成一块的了,不能一一展开,总共300多集)

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

程序员_大白
关注
专栏目录
最新版web漏洞扫描工具AppScan\AWVS\Xray安装及使用教程
Cwillchris的博客
07-27 1049
这就是被动扫描,被动扫描需要你人工访问web页面,然后在页面上提交各种参数,xray会帮你把所有的参数进行测试是否存在问题,爬虫自动扫描在没有爬到页面中的表单以及参数信息时就不会进行对应的测试。所以被动扫描可能更适合我们对网站进行测试,需要注意的是请勿在可能对目标服务器造成不可逆的影响的位置进行测试,比如删除某个资源文件的请求。本次漏洞源于SMBv3没有正确处理压缩的数据包,在解压数据包的时候使用客户端传过来的长度进行解压时,并没有检查长度是否合法,最终导致整数溢出。...
Web漏洞扫描工具AppScan v10.0.0的下载安装与使用
LYX_WIN
12-31 9429
一、下载与安装 1、下载 链接:https://pan.baidu.com/s/1ooHjJbJHAc5wy35nEcjJ9g 密码:oy11 2、安装 2.1、解压安装包,双击AppScan_Setup_10.0.0.exe运行,默认下一步安装完成即可。 2.2、将AppScanStdCrk文件夹中的rcl_rational.dll和AppScanStandard.txt复制到安装路径下,覆盖原来的文件。 2.3、双击桌面快捷方式,打开软件,点击帮助->许可证->切换到IBM.
WmiTools(windows系统工具
01-20
Wmi Tools不仅是一个查询软件,还可以创建wmi实例,执行wql(类似于sql一样的wmi查询语句)。不过我们用的最多的还是它的查询功能,查询一些我们需要的属性和方法名。
漏洞扫描工具AWVS的介绍与使用
最新发布
zzz6583zz的博客
08-07 779
Acunetix Web Vulnerability Scanner(AWVS)可以扫描任何通过Web浏览器访问和遵循HTTP/HTTPS规则的Web站点。适用于任何中小型和大型企业的内联网、外延网和面向客户、雇员、厂商和其它人员的Web网站。AWVS可以通过检查SQL注入攻击漏洞、XSS跨站脚本攻击漏洞等漏洞来审核Web应用程序的安全性。主菜单功能介绍:主菜单共有5个模块,分别为Dashboard、Targets、Vulnerabilities、Scans和Reports。
Burpsuite 指纹特征绕过
Javachichi的博客
12-05 1958
需要高版本 17 + 的 burp 运行插件,可 bypass 网站流量设备的检测,正常抓包。未使用插件前,burp 指纹特征被识别,抓包被拦截。
旧电脑搭建linux服务器
热门推荐
哈哈哈哈哈哈哈
08-02 1万+
1. 场景 一旧电脑,8G内存,搁置甚是可惜,于是变废为宝,利用window Linux子系统以及花生壳内网穿透工具,搭建一台Linux。 2. 环境 win10 win10 linux子系统 花生壳内网穿透工具 3. 搭建步骤 3.1 安装linux子系统 进入“开发者选项”,打开开发者模式 进入“启用或关闭Windows功能”设置 打开适用于linux的Windows子系统 在应用商店下载...
软件测试的岗位会越来越少?测试做到头来,就只能去送外卖?
zjtdy的博客
05-14 485
软件测试的岗位不会越来越少,但要求却会越来越高。 接下来以理服人。 一、为什么测试岗位不会越来越少? 1、谈谈测试对企业的价值,看测试岗位为什么不会少 作为软件企业而言,其核心就是提高软件的质量,以便高品质的产品能快速占领市场。但如果产品的质量都无法保证,那企业就会失去用户的支持,无法正常发展。而测试人员,作为产品质量的守护者,会用专业手段,找到程序中存在的问题,让程序员进行修改,以确保产品能够满足用户的需求。所以测试人员和生产软件的开发人员是同等重要的。是不是这样,我们来讲个2019年才发生的故事。 2.
软件测试的岗位会越来越少吗?
m0_57290404的博客
01-07 310
软件测试的岗位不会越来越少,但要求却会越来越高。 接下来我将来论证我的观点。 一、为什么测试岗位不会越来越少? 1、谈谈测试对企业的价值,看测试岗位为什么不会少作为软件企业而言,其核心就是提高软件的质量,以便高品质的产品能快速占领市场。但如果产品的质量都无法保证,那企业就会失去用户的支持,无法正常发展。而测试人员,作为产品质量的守护者,会用专业手段,找到程序中存在的问题,让程序员进行修改,以确保产品能够满足用户的需求。 所以测试人员和生产软件的开发人员是同等重要的。是不是这样,我们来讲个2019年才发生的故
Web安全扫描工具appscan安装和使用
08-19
Web安全扫描工具AppScan是IBM Rational推出的一款强大的应用安全扫描软件,主要针对Web应用程序的安全检测。AppScan家族包含了多种版本,如Source Edition用于源代码安全扫描,Standard Edition用于Web应用的快速...
appscan漏洞扫描工具
07-12
appscan漏洞扫描工具AppScan的安装 1、解压安装包,双击AppScan_Setup_10.0.0.exe运行,默认下一步安装完成即可。 2、将AppScanStdCrk文件夹中的rcl_rational.dll和AppScanStandard.txt复制到安装根路径下,覆盖...
XSS注入知识点总结.pdf
02-07
该文档是在看网络学习视频总结,从XSS漏洞概述,XSS分类,XSS构造,XSS变形,XSS的利用,XSS的防御进行总结,分章节进行叙述,可作为学习文档。
CTF---安全杂项入门第一题 丘比龙的最爱
weixin_33910759的博客
10-18 204
丘比龙的最爱分值:10 来源: 2014HCTF 难度:易 参与人数:4498人 Get Flag:1366人 答题人数:1384人 解题通过率:99% 传说,丘比龙是丘比特的弟弟,丘比龙是一只小爱神,虽然有两只翅膀,但因为吃多了,导致身体太胖,所以飞不起来~那么问题来了?!丘比龙吃什么食物吃多了变胖了 解题链接: 原题链接:http://w...
Linux上如何查看磁盘IO性能
linux_tcpdump的博客
03-04 1385
查看磁盘 IO 性能 1 top 命令 top 命令通过查看 CPU 的 wa% 值来判断当前磁盘 IO 性能,如果这个数值过大,很可能是磁盘 IO 太高了,当然也可能是其他原因,例如网络 IO 过高等。 top命令的其他参数代表的含义详见命令详解,更多io wait的信息 2 sar 命令 sar 命令是分析系统瓶颈的神器,可以用来查看 CPU 、内存、磁盘、网络等性能。 sar 命令查看当前磁盘性能的命令为: 复制代码 [root@server-68.2.stage.polex.io var ]$ sa
废物利用,拿自己的旧电脑搭建个服务器吧!
方志朋的博客
05-08 334
点击关注公众号,Java干货及时送达????最近总是想搭建自己的网站,奈何皮夹里空空如也,服务器也租不起,更别说域名了。于是我就寻思能否自己搭建个服务器,还不要钱呢?还真行!!!经过几天的冲浪,我发现有两个免费的建站工具:Apache和Nginx由于两个工具建站方法差不多,所以我就以Nginx为例1.安装Nginx首先前往Nginx官网(nginx.org)进行下载,也可以直接用我提供的链接下载1.23...
软件测试岗位会越来越少吗?
weixin_46635091的博客
04-13 937
先说结论:软件测试的岗位不会越来越少,但是要求会越来越高。 说个比较现实一定的结论:岗位少不可怕,要求越来越高也不可怕,可怕的是,软件测试行业已经发生巨变,而你却原地踏步! 裁员不可怕,可怕的是行业在发生巨变,而你却原地踏步 软件测试行业已经发生很大变化,你跟上变化了吗? 很多刚刚进入这个行业的同学,无论是应届毕业生还是培训班转行,发现出来以后简历投出去就是石沉大海,而在16/17年,一个手工测试...
100个python代码大全
m0_73811154的博客
01-03 5202
这些示例覆盖了更多主题,包括实时多人聊天室(使用 Flask-SocketIO)、缓存(使用 Flask-Caching)、处理日期和时间(使用 Flask-Moment)、数据序列化(使用 Flask-RESTful 和 Marshmallow)以及数据库迁移和管理(使用 Flask-Migrate 和 Flask-Script)。50. **使用 Flask-Migrate 和 Flask-Script 进行数据库迁移和管理:**42. **使用 Flask-Security 实现用户认证和授权:**
appscan漏洞扫描使用说明
07-14
AppScan是一款流行的漏洞扫描工具,用于识别和评估Web应用程序中的安全漏洞。以下是AppScan漏洞扫描的基本使用说明: 1. 安装和配置:下载并安装AppScan,然后按照提供的指南进行基本配置。确保您的系统满足最低要求并具有适当的许可证。 2. 创建项目:在AppScan中创建一个新项目,提供相关信息,如目标URL和认证凭据(如果需要)。您还可以选择其他配置选项,如扫描深度和扫描策略。 3. 配置扫描选项:根据您的需求选择适当的扫描选项。您可以选择执行全面扫描或仅针对特定漏洞类别执行扫描。 4. 启动扫描:点击"开始扫描"按钮启动扫描。AppScan将自动访问目标URL,并尝试发现潜在的漏洞。 5. 查看扫描结果:一旦扫描完成,您可以查看扫描结果报告。报告将列出检测到的漏洞及其严重性级别。您可以通过报告中提供的详细信息,了解每个漏洞的具体细节和修复建议。 6. 修复漏洞:基于AppScan的扫描结果,您应该尽快修复检测到的漏洞。根据漏洞的严重性级别,您可以优先处理高风险漏洞。 7. 定期扫描:漏洞扫描不是一次性任务,建议定期使用AppScanWeb应用程序进行扫描,以确保持续的安全性。 请注意,这只是AppScan的基本使用说明。根据您的具体需求和环境,您可能需要更多高级配置和操作。建议参考AppScan的官方文档和用户手册,以了解更多详细信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值