KerryRuan的专栏

使用方法用法：图形界面操作说明：扫描由两个阶段组成：探测和测试。探测阶段：AppScan用模拟人为点击链界和填充表单的方式探测站点（应用或者Web服务）。分析响应，查找潜在弱点的迹象并利用它们创建“测试请求”。测试阶段：AppScan在探索期间发送上千个预定的测试请求。记录并分析应用的响应，辨别安全问题并排列它们的安全级别。图形界面：用法：图形界面操作

众所周知，Web 应用安全测试通常有黑盒安全测试和白盒安全测试两种方法。这两种方法孰优孰劣一直众议纷纷。广为公认的是，这两种测试方法有着良好地互补性，两种测试方法的结合是未来安全测试技术的发展趋势。Glass Box 是 IBM 发布的一项领先混合测试技术，它增强了 Rational AppScan Standard Edition 的探索能力，提高了扫描效率和结果准确性。本文将跟读者分享这项新技

[导读]当设置为true时，表示创建的 Cookie 会被以安全的形式向服务器传输，也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证，如果是 HTTP 连接则不会传递该信息，所以不会被窃取到Cookie 的具体内容。一、属性说明：1 secure属性当设置为true时，表示创建的 Cookie 会被以安全的形式向服务器传输，也就是只能在 HTTPS 连接中被浏

今天看到有好几个网友问我“会话标示未更新问题”，以下是我的解决办法。        我的系统在做AppScan安全扫描时，爆出一个高危漏洞：会话标识未更新。提供的解决办法是，在用户登录时始终使用新的会话。        我仔细查看了我的系统。原来在用户进入登录页面，但还未登录时，就已经产生了一个session，用户输入信息，登录以后，session的id不会改变，也就是说还是以前的那个

会话标识未更新 严重性: 高 类型: 应用程序级别测试 WASC 威胁分类: 授权类型：会话定置 CVE 引用: 不适用 安全风险: 可能会窃取或操纵客户会话和 cookie，它们可能用于模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务---------------------------------------------------------

安装玻璃盒代理程序目前版本的玻璃代理程序主要支持主流 Java EE 应用程序服务器（如 JBoss，Tomcat，WebLogic 和 WebSphere）。玻璃盒代理程序可以自动化安装，但考虑到 Java EE 应用服务器的配置通常较为复杂，为支持客户手工部署需求，玻璃盒代理程序也可以手动安装。AppScan 的用户手册中有详细的解释和示例。简而言之，玻璃盒代理程序安装主要包括 J

“跨站点脚本编制”攻击是一种隐私违例，可让攻击者获取合法用户的凭证，并在与特定 Web 站点交互时假冒这位用户。 这个攻击立足于下列事实：Web 站点中所包含的脚本直接将用户在 HTML 页面中的输入（通常是参数值）返回，而不预先加以清理。 如果脚本在响应页面中返回由 JavaScript 代码组成的输入，浏览器便可以执行输入中的代码。 因此，有可能形成指向站点的若干链接，且其中一个参数是

“跨站点伪造请求 (CSRF)”攻击可让黑客以受害者的名义在易受攻击的站点上运行操作。当易受攻击的站点未适当验证请求来源时，便可能出现这个攻击。 这个漏洞的严重性取决于受影响的应用程序的功能，例如，对搜索页面的 CSRF 攻击，严重性低于对转帐页面或概要更新页面的 CSRF 攻击。 这项攻击的执行方式，是强迫受害者的浏览器向易受攻击的站点发出 HTTP 请求。如果用户目前已登录受害

Web 应用程序通常在后端使用数据库，以与企业数据仓库交互。查询数据库事实上的标准语言是 SQL（各大数据库供应商都有自己的不同版本）。　　Web 应用程序通常会获取用户输入（取自 HTTP 请求），将它并入 SQL 查询中，然后发送到后端数据库。接着应用程序便处理查询结果，有时会向用户显示结果。 　　如果应用程序对用户（攻击者）的输入处理不够小心，攻击者便可以利用这种操作方式。在此情

本文摘抄自一个做过网站系统安全性测试人写的文章! 感觉写的不错,记录下来:网站安全性测试一.  测试范围概述　　网站的安全性检查一般包括:       网页安全检查　　 数据库安全检查　　 系统安全检查　　 接口安全检查二.  检查范围详解　(一) 网页安全检查　　1. 输入的数据没有进行有效的控制和验证数据类型允许的字符集最大和最小

(二) 系统服务器安全检查检测关闭不必要的服务是否建立安全账号策略和安全日志是否已设置安全的IIS,删除不必要的IIS 组件和进行IIS 安全配置(对web服务器进行安全设置)Web 站点目录的访问权限是否过大服务器系统补丁是否打上,是否存在系统漏洞扫描检测木马

(三) 数据库安全检查点　　1. 系统数据是否加密尽量不要使用sa 账号严格控制数据库用户的权限,不要轻易给用户直接的查询\更改\插入\删除的权限数据库的账号和密码(还有端口号),是不是直接写在配置文件里未进行加密　　2. 系统数据的完整性　　3. 系统该数据的可管理性　　4. 系统数据的独立性　　5. 系统数据的可备份和恢复能力服务器突然断

(四) 接口安全检查以支付宝为例1. 支付的接口2. 支付的入口3. 与各个银行的数据接口安全4. 与支付宝的接口

http://www.xfocus.net一、综述弱点（vulnerabilities）是网络安全中的一个重要因素，在多种安全产品（如漏洞扫描、入侵检测、防病毒、补丁管理等）中涉及到对弱点及其可能造成的影响的评价。但目前业界并没有通用统一的评价体系标准。通用弱点评价体系（CVSS）是由NIAC开发、FIRST维护的一个开放并且能够被产品厂商免费采用的标准。利用该标准，可以对弱点进行

CVSS : Common Vulnerability Scoring System，即“通用漏洞评分系统”，是一个“行业公开标准，其被设计用来评测漏洞的严重程度，并帮助确定所需反应的紧急度和重要度”。CVSS是安全内容自动化协议（SCAP）[2]的一部分，通常CVSS同CVE一同由美国国家漏洞库（NVD）发布并保持数据的更新。CVSS的目标是为所有软件安全漏洞提供一个严重程度的评级

产品名称变更说明AppScan 从V8.6 版本开始由原来的IBM Rational AppScan 改名为IBM Security AppScan。立即下载IBM Security AppScan Standard Edition V8.6 试用版Glass Box 是IBM Security AppScan Standard Edition（以下简称AppScan）8.5 版本以后

我在安装过程中遇到了这样的问题：错误：许可证安装失败。许可检查失败：授权签名无效。直接将keygen.exe运行生成证书导入是不成功的。在网上下载破解文件当中有两个文件，一个是patch.exe和keygen.exe.说明文件讲得并不太详细。我的操作过程是这样的。安装Rational AppScan以后。1.将patch.exe放到安装目录Rational AppS

因为appscan在新建扫描任务的时候只能输入一个target，并且没有awvs/nessus那样提供web接口，导致我以前一直以为appscan不能像awvs那样批量建立任务自动扫描。不过，今天要分享的一点经验只是实现简单的appscan自动化扫描。其实很简单，appscan的GUI界面新建扫描任务时虽然只能指定一个target，并且也没有提供类似awvs/nessus的web接

这里主要分享如何使用AppScan对一大项目的部分功能进行安全扫描。------------------------------------------------------------------------ 　　其实，对于安全方面的测试知道的甚少。因为那公司每个月要求对产品进行安全扫描。掌握了一人点使用技巧，所以拿来与大家分享。　　因为产品比较大，功能模块也非常之多，

3.2.1  AppScan弱点统计与分析测试站点xAppScan高中低testphp.acunetix.com注入3个，数据库错误模式4个，跨站4个，合计11个；11/14=78.5%目录列表2个，框架钓鱼6个，合

2.2  功能总结    在对应用系统类型的支持上，三款产品都支持HTTP和HTTPS协议的应用系统，但是对于复杂的ERP系统，APPSCAN和WVS不能够支持，只有WebRavor能够支持。    三款产品都具备了应用系统评估工具的基本功能：爬行和检测。WVS过于依赖自己的爬行和检测的能力，不允许按web应用系统操作流程的方式进行手动测试，不允许策略扩展，这对于千变万

更多功能的比较详细清单参照下图：

一.  综述    面对风起云涌的Web应用扫描工具市场，产品的能力也是参差不齐，有些软件可以针对个别网站检测出注入和跨站，并且罗列大量的变种和错误信息，就号称是全面的应用系统扫描工具。为了展示Web应用扫描工具的真实实力，这次我从商业市场上选择了三款市场占有率最高的Web应用扫描工具： XBM XRational XAppScan 、YAcunetix YWeb YVulne

3.2.2  WVS弱点统计与分析测试站点WVS高中低testphp.acunetix.com跨站7个，注入7个，HTTP分割相应1个，PHP代码注入1个，合计16个；16/37=43.2%。备份文件1个，PHP信息页面2个，应用系

3.2.3  WebRaovr弱点统计与分析测试站点WebRavor危急高中testphp.acunetix.comSQL注入7个，合计7个；7/7=100%。跨站7个，合计7个；7/7=100%。登录页面1

3.3  SQL注入能力4个网站的注入点说明：testphp.acunetix.com注入点数据库数据库名称用户名http://testphp.acunetix.com:80/AJAX/infoartist.php?id=1http://testphp.acunetix.com:80

WVS发现的注入统计： 总数个数准确率漏报率testphp.acunetix.com77100%0demo.testfire.net030

3.4  策略分析三款软件的策略都围绕自己的设计理念进行，在它们的策略中也有一些策略是相同的或相近的，如下图所示：   SQL注入、XSS是OWASP的TOP10里的前两位，应用系统扫描工具都具有判断这两个漏洞的功能。   目录泄漏：有可能导致敏感文件的泄漏，如一个目录中包含了用户的账号信息的页面，则可以通过该目录直接查看到用户信息的页面。   WEB允

AppScan8.0的安装顺序：AppScan8.0_Setup.exeAppScan_Setup8.0.0.3.exe升级规则Rules-Update-Data-Files-1333patch.exe放入license.licAppScan8.0的配置（AppScan-工具-选项（-高级））：扫描选项--去除启用扫描日志扫描选项--

在AppScan可以阻塞通信时，某个个人防火墙正在运行，导致不精确查找，从而降低性能。为了获得最佳结果，请不要在运行AppScan的计算机上运行个人防火墙。如果您的计算机上存储了有效的旧格式原有许可证，请单击“装入旧格式(.lic)的许可证”分探索阶段（通俗地说：网页爬行阶段）、测试阶段 ： 探索阶段，模拟web用户单击链接并填写表单字段来探索站点测试阶段，AppScan发

英文字面是“入口”，国内有叫“门户”技术的，但我觉得“集成”技术更能表达它的意思。Portal是一个基于web的应用程序，它主要提供个性化、单点登录、不同来源的内容整合以及存放信息系统的表示层。Portal有什么标准？为规范Portal，SUN于2003年底制定了JSR168，它定义了Portlet标准，并给出了一个实现接口。什么是Portlet?Portlet是基于java技术的

不知道从什么时候开始，仙儿对分类一直很迷恋。看到一些莫衷一是的分类就会很抓狂，这可能是一种病吧。最近又犯病了，居然对网络安全产品的分类动了心思。用了两个晚上时间梳理了一下，总算是有个勉强可接受的结果。在此感谢启明星辰叶蓬关于分类的意见，和你的讨论让我受益匪浅。第一部分 概述我们先来看看IDC沿用多年的分类。这张图还是非常有参考价值的，将安全分为了产品和服务，产品又分为了软件和硬件。IDC的市场研究...