菜鸟日记之AppScan扫描器

最新推荐文章于 2024-07-11 09:08:14 发布
最新推荐文章于 2024-07-11 09:08:14 发布
阅读量1.1k 收藏
点赞数 1
分类专栏: 小白时期学习笔记 文章标签: AppScan web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/njc_sec/article/details/83620204
版权
本文记录了作者初次使用AppScan扫描器的经历,通过URL扫描发现网站安全问题,如SQL注入、XSS等。针对扫描结果,作者总结了分析方法,包括识别冗余页面的规律,并表达了对学习更多安全分析和爬虫技术的愿望。
摘要由CSDN通过智能技术生成

今天是十一月的第一天。真荣幸,我感冒了。

所以有了待在宿舍的理由。于是,知道了Appscan这种工具。

不得不说实验吧这个平台给了我接触这些东西的一条途径。这个时代真好。

-----------------------------感慨分割线-----------------------------------

-----------------------------正经学习线-----------------------------------

Appscan可以通过URL扫描到网站的安全问题,比如

所以问题来了!怎么对扫描结果进行分析?

经过各种博客知乎贴吧(我为什么不会爬虫!!T_T)。总结如下:

1.高危有三种:① SQL注入、盲注、 ②XSS   ③被解密的登录请求

2.由于大部分都是伪静态页面,所以从名称上找规律,有file+数字+.html的只留第一页和最后一页即可。这种一般是新闻网页,或者论坛某些页面。如果有...?....?....?(...在这部分相同)种的也被认为是冗余页面。因为Appscan是以?来做分割的。

 

T_T就记住了这么多,不会分析以及补漏洞,始终会在理解上差点什么。

 

另外感觉这个工具好厉害,然后查了下这个 工具的原理。发现了一篇文章讲的特别清楚~~膜大佬(期待未来*-*)

部分截图如下:<

最低0.47元/天 解锁文章
摘星星的Q
关注
专栏目录
IBM AppScan基本使用教程
charismaless的博客
04-01 1071
AppScan超简单实用
APPScan扫描器
weixin_30270815的博客
05-11 657
简介 IBM出品,可以扫描常见web应用安全漏洞。APPScan支持黑盒测试和白盒测试(代码审计)。 原理 首先根据起始页面爬取站下所有可见页面,同时测试常见管理后台。获得页面之后使用SQL注入原理进行测试是否存在注入点一级跨站脚本攻击可能,同时对cookie、session、会话周期等web安全漏洞进行检测。AppScan功能强大。支持登录功能、报表、详细漏洞原理、修改建议、手动验证等功能。但是APPScan价格十分昂贵。 工作方式 1,静态分析(static)即源代码分析 2,动态分析(Dynamic
Web漏洞扫描工具AppScan、AWVS测评及使用体验(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Python_0011的博客
07-11 592
AppScan有业界最强悍的规则库,AppScan的规则库内置了超过1.2万个测试用例,测试用例最全,所以AppScan扫描的问题更多,扫描时长也较久;AWVS扫描SQL 注入和跨站脚本的能力较专,误报相对较低,扫描时长较短。建议企业在日常测试流程中使用AWVS,在针对重点或高风险版本使用AppScan进行查漏补缺。更多对比=======
安全扫描工具-appscan
ZYXia888的博客
02-01 1万+
BM Rational AppScan是一个面向 Web 应用安全检测的自动化工具,使用它可以自动化检测 Web 应用的安全漏洞。 比如跨站点脚本攻击(Cross Site Scripting Flaws)、注入式攻击(Injection Flaws)、失效的访问控制(Broken Access Control)、缓存溢出问题(Buffer Overflows)等等。 这些安全漏洞大多包括在...
AppScan使用分享
weixin_34114823的博客
10-09 478
这里主要分享如何使用AppScan对一大项目的部分功能进行安全扫描。 ------------------------------------------------------------------------   其实,对于安全方面的测试知道的甚少。因为那公司每个月要求对产品进行安全扫描。掌握了一人点使用技巧,所以拿来与大家分享。   因为产品比较大,功能模块也...
渗透测试——安全漏洞扫描工具APPScan的安装与基本使用步骤
qq_53058639的博客
03-17 2644
Standard是安全专家和渗透测试者设计的动态应用程序安全测试工具,AppScan使用强大的扫描引擎,会自动检索目标应用程序并测试漏洞。测试结果按优先级排列,允许操作员快速分类问题、发现最关键的漏洞。每个检测到的问题都可以根据清晰且可操作的修复建议来轻松进行修复。
Burpsuite 指纹特征绕过
Javachichi的博客
12-05 2045
需要高版本 17 + 的 burp 运行插件,可 bypass 网站流量设备的检测,正常抓包。未使用插件前,burp 指纹特征被识别,抓包被拦截。
Appscan扫描器
05-08
AppScan扫描器是一款由IBM开发的专业安全检测工具,主要用于企业级应用的安全审计和漏洞检测。在信息安全领域,AppScan扮演着至关重要的角色,它能够帮助开发者和安全专业人员发现并修复应用程序中的潜在安全风险,...
Appscan扫描器web漏洞
Unitue_逆流
01-23 4922
一、目的 1、 了解Appscan扫描器 2、学习Appscan用法 二、关于Appscan介绍 我们平时使用的是桌面版的Appscan,即Appscan standard edition,其安装在windows操作系统上,可以对网站和web应用安全进行自动化扫描测试。 三、应用原理: 1、通过搜索发现整个web应用结构 2、根据分析,发送修改的HTTP
AppScan扫描器的用法
谢公子的博客
10-19 1万+
目录 AppScan 软件功能 建立一次基础的扫描 AppScan AppScan是一款非常好用且功能强大的Web 应用安全测试工具,曾以 Watchfire AppScan 的名称享誉业界,AppScan 可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection)、跨站脚本攻击(cross-site scri...
AppScan--图解Web扫描工具IBM Security App Scan Standard
热门推荐
六月心悸
11-23 1万+
公司要扫描个Web系统漏洞,所以就简单的学习了下。 App Scan用法: 首先打开IBM Security AppScan Standard 工具 点击 创建新的扫描 ->  点击”常规扫描“ ->之后你就会看到如下图: 这里你可以直接点击 ”下一步“ 或是点击 ”完整扫描配置“ 先点击 ”完整扫描配置“ URL 和服务器
appscan安全测试工具
mao_xiaoxi的博客
06-04 432
AppScan使用教程参考https://blog.csdn.net/qq_36761831/article/details/80031086 一、安装顺序: 第一次安装顺序不对,安装完启动报错:--------卸载后再装一遍试试 重装后可以了 ...
常用Web安全扫描工具合集
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
08-24 243
漏洞扫描是一种安全检测行为,更是一类重要的网络安全技术,它能够有效提高网络的安全性,而且漏洞扫描属于主动的防范措施,可以很好地避免黑客攻击行为,做到防患于未然。那么好用的漏洞扫描工具有哪些?
安全测试AppScan自动扫描的一个简单流程
weixin_44320224的博客
04-07 2047
AppScan的一个简单安全测试流程 在第一个阶段中,AppScan 分析它所发送的每个请求的响应,查找潜在漏洞的任何指示信息。 AppScan 接收到可能指示有安全漏洞的响应时,它将自动基于响应创建测试,并通知所需验证规则,同时考虑在确定哪些结果构成漏洞以及所涉及到安全风险的级别时所需的验证规则。在第二个阶段,AppScan 将发送它在探索阶段创建的数千个定制测试请求。 它使用定制验证规则记录和分析应用程序对每个测试的响应。 这些规则既可识别应用程序内的安全问题,又可排列其安全风险级别。 注:本文章适合
appscan教程
Sheldon_King的博客
07-29 1334
转载自:https://blog.csdn.net/u013147600/article/details/50001825 从不知道测试工具已经如此智能化了,appscan只需要输入被测网址,点击开始,剩下的什么都不用管,报告都给你写好。 公司要扫描个Web系统漏洞,所以就简单的学习了下。 App Scan用法: 首先打开IBM Security App
AppScan实战——web扫描
m0_61506558的博客
08-16 793
AppScan的简单操作
渗透测试工具--AppInfoScanner 的安装与使用(一)
失心少年
05-08 932
ApplicationScanner是一个快速稳定的App代码扫描工具,其主要功能是对ipa和apk文件进行扫描,以快速发现存在风险的代码。这款工具基于Python 3.7实现其主要功能,同时apk检测部分需要JDK 11的支持,因此它具备较好的跨平台特性,目前支持在Linux和Mac系统上使用,但暂不支持Windows。通过ApplicationScanner进行扫描,其检测项目与等保的检测项目进行了对齐。换句话说,如果ApplicationScanner没有扫到的问题,等保扫描时大概率也检测不到。
手把手带你安装“AppScan工具”(附带详细图解)
aGreetSmile的博客
06-25 2513
AppScan是IBM的一款web安全扫描工具,主要适用于Windows系统。该软件内置强大的扫描引擎,可以测试和评估Web服务和应用程序的风险检查,根据网站入口自动对网页链接进行安全扫描,扫描之后会提供扫描报告和修复建议等。AppScan有自己的用例库,版本越新用例库越全(用例库越全面,对漏洞的检测较全面,被测试系统的安全性则越高)1)通过探索了解整个web页面结果2)通过分析,使用扫描规则库对修改的HTTP Request进行攻击尝试3)分析 Response 来验证是否存在安全漏洞。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值