漏扫工具Appscan使用简介

已于 2024-04-25 10:30:53 修改
阅读量1.7w 收藏 205
点赞数 23
文章标签: 编辑器
于 2022-04-04 09:12:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54604475/article/details/123948426
版权

目录

1、简介

2、具体使用规则

1、常用界面

2、工作原理

3、设置小技巧

3、实例扫描

1、验证码绕过

2、越权扫描

3、手动绕过验证码扫描

W

1、简介

AppScan是一款商业化的web安全扫描工具,web扫描领域十分受欢迎

2、具体使用规则

1、常用界面

  1. 新建扫描文件

  2. 选择扫描

  3. 对于第一种扫描方式:

    • 设置url和服务器

    • 登录管理:对于需要登陆的页面(这种方法不允许有验证码)

      在记录方式选择下,建议采用:

       

      录制会记录输入的脚本

      若url地址搭配了https协议,那么需要安装证书

      出现下面的窗口就显示成功:

       

    • 测试策略

      可以自定义扫描精准漏洞

    • 测试优化

      即选择测试的速度

    • 最后选择测试程度

      所谓探索,就是不做漏洞探测

       

    • 保存文件

       

  4. 扫描排除路径

    • 排查,有些目录不想要扫,可以设置

    • 黑名单不扫(跟上同一个作用)

    • 环境自动检测(可以提前设置好告诉程序)

      选好以后就不需要app去自动探测

2、工作原理

软件通过自带的字典进行目录扫描

  • 即进行关键字匹配来得到目录

3、设置小技巧

1、自定义测试策略

  1. 面板位置:

  2. 在面板选择好需要检测的漏洞后就可导出

  3. 最后可以在最近策略以及导入中使用预定义的策略

2、调整扫描速度

  1. 探索选项

    • 主菜单

    • 基于操作

    • 基于请求

    • 注:后两项都是基于:确定没有js请求的时候,可以去掉,这个主要用法就是渲染出页面,动态捕捉动用了哪些js脚本

  2. 扫描专家

    可以取消勾选一部分

     

3、实例扫描

1、验证码绕过

  • 原理:在有后端校验验证码的时候,可以通过复制浏览器的cookie值来进行反复扫描

这里拿大米的靶场来探测

  1. 拿到网站登录后的cookie

     

  2. 选择好选项后,点击完全扫描配置

    • 点击配置

       

    • 进入到对应页面,选择添加参数

      当然这里横插一脚,也可以使用主页面的配置进行定义cookie

    • 名称填写为cookie,内容为复制的cookie字段(只复制引号里面的内容)

  3. 扫描开始

    有些目录会存在XX,这个代表设置不去访问的目录

    只扫指定的特定目录,故根目录并没有扫

    最后结果:

    在下面的请求包里面发现我们自己加的cookie

2、越权扫描

分为水平越权和垂直越权,这里以pikachu靶场的垂直越权为例子

  1. 依旧是配置

  2. 调试策略针对性

     

  3. 先登录管理员用户,在稍后再对普通用户扫描结果进行比对

    扫描结束:

    结束后保存项目到本地

  4. 重复步骤,但第二次只登录1普通用户

  5. 稍后启动

  6. 在特权升级处加入内容

    选择之前保存的admin的文件

  7. 开始扫描

  8. 扫描结果

    扫描结果差不多时,就可以进行测试

     

  9. 成功测试到垂直越权

3、手动绕过验证码扫描

  • 原理:设置到代理,利用appscan的代理监听窗口对浏览器访问的流量进行代理监听,从而爬取到目录信息

  • 好处:若自动爬取目录不全(毕竟是程序机械的爬取),就可以使用此方法设置代理手动点击

  1. 选项位置

  2. 弹出监听窗口,并设置浏览器代理

  3. 设置证书

    • 要安装证书的原因是,设置代理的同时确保双方的可信度(安全性)

夏祺.
关注
  • 23
    点赞
  • 205
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
安全测试漏扫工具-HCL AppScan10.0.8,安全规则库28196
10-15
自测可用!优秀的安全测试漏扫工具AppScan10.0.8,安全规则库28196,已经是最新的安全规则库了。支持:WEB应用程序、WEB api 、增量、完全配置等多种扫描方式。扫描工具里比较强大的,可以自动生成扫描报告。方便快捷。
安全测试漏扫工具_HCL AppScan最新版本_10.0.8(28186)_2022年8月_appscan28150下载
08-05
自测可用!!!!! 安全测试漏扫工具_HCL AppScan最新版本_10.0.8(28186)_2022年8月_appscan28150下载
漏扫工具Appscan使用(非常详细)从零基础入门到精通,看完这一篇就够了。
bdfcfff77fa的博客
03-08 1064
名称填写为cookie,内容为复制的cookie字段**(只复制引号里面的内容)**扫描开始有些目录会存在XX,
手把手带你安装“AppScan工具”(附带详细图解)
aGreetSmile的博客
06-25 2022
AppScan是IBM的一款web安全扫描工具,主要适用于Windows系统。该软件内置强大的扫描引擎,可以测试和评估Web服务和应用程序的风险检查,根据网站入口自动对网页链接进行安全扫描,扫描之后会提供扫描报告和修复建议等。AppScan有自己的用例库,版本越新用例库越全(用例库越全面,对漏洞的检测较全面,被测试系统的安全性则越高)1)通过探索了解整个web页面结果2)通过分析,使用扫描规则库对修改的HTTP Request进行攻击尝试3)分析 Response 来验证是否存在安全漏洞。
安全测试漏扫工具_HCL AppScan最新版本_10.0.7(28150)_2022年7月_appscan28150下载
07-09
安全测试漏扫工具_HCL AppScan最新版本_10.0.7(28150)_2022年7月
AppScan的用法
He_200988的专栏
09-22 6565
一、AppScan的工作原理 对一个综合性的大型网站来说,可能存在成千上万的页面。以登录界面为例,至少要输入用户名和密码,即该页面存在两个字段,当提交了用户名和密码等登录信息,网站需要检查是否正确,这就可能存在一个新的检查页面。这里的每个页面的每个参数都可能存在安全漏洞,可能成为被攻击对象。AppScan正是通过按照设定策略和规则,对Web应用进行安全攻击,以此来检查网站是否存在安全漏洞。 在使用AppScan的时候,通过配置网站的URL网址,AppScan会利用“探索”技术去发现这个网站存在多少个目录
appscan使用介绍
06-22
详细描述web扫描工具appscan使用方法,包括appscan工作原理,界面介绍,不同模式的详细配置
Appscan中文使用说明
05-06
Appscan中文使用说明,这个工具在网络安全上应用是非常广泛的,需要用到的可以下载
APPSCAN使用
seamyjiang的专栏
06-12 304
1、进入应用程序双击快捷图标,进入应用程序 2、新建扫描文件>新建>常规扫描3、扫描配置向导1)选择扫描类型:web应用程序扫描》下一步2)输入起始URL:http://192.168.23.23:8080/zpfw,勾选我需要配置其他连接设置(代理、平台认证),点击下一步3)勾选不使用代理,选择下一步  4)登录方法选择记录(推荐),点击下一步  5)测试策略:定制 ,点击下一步6)...
Appscan工具使用教程
weixin_34138377的博客
06-05 908
接着上一篇文章,继续学习appscan软件的操作 一、设置配置向导 1.启动软件进入主界面—>选择创建新的扫描: 创建扫描 2.在弹出的新建扫描对话框中选择常规扫描 常规扫描 3.在弹出的扫描配置向导对话框中选择AppScan(自动或手动),点击下一步 选择探索站点方式...
APPscan9.0基本使用说明书
01-16
APPscan9.0基本使用说明书,详细介绍appscan9.0的使用方式。
web漏扫-appscan漏扫软件扫描靶机并分析-xss,sql等详细笔记总结
06-30
web漏扫-appscan漏扫软件扫描靶机并分析-xss,sql等详细笔记总结
APPScan基础扫描-技术手册》
11-08
APPScan基础扫描-技术手册》这篇文档将教会你如何使用APPScan这款工具对web平台执行安全扫描喔~ 如果还有安全测试相关的其他问题,也欢迎随时来私聊我交流呀~ CSDN,知识分享,资源共享,希望和同在CSDN的你共同进步!你我皆是黑马
AppScan扫描工具
11-21
AppScan是IBM的一款web安全扫描工具,可以利用爬虫技术进行网站安全渗透测试,根据网站入口自动对网页链接进行安全扫描,扫描之后会提供扫描报告和修复建议等。 AppScan有自己的用例库,版本越新用例库越全(用例库越全面,对漏洞的检测较全面,被测试系统的安全性则越高)
appscan漏洞扫描工具
07-12
appscan漏洞扫描工具AppScan的安装 1、解压安装包,双击AppScan_Setup_10.0.0.exe运行,默认下一步安装完成即可。 2、将AppScanStdCrk文件夹中的rcl_rational.dll和AppScanStandard.txt复制到安装根路径下,覆盖原来的文件。 3、双击桌面快捷方式,打开软件,点击帮助->许可证->切换到IBM许可证。 4、点击打开Appscan License Manager,——>点击许可证配置->节点锁定许可证文件中点击“+”选择安装目录下的AppScanStandard.txt文本作为许可证. 5、许可证设置成功后可以正常使用
AppScan9.0.3.7漏洞扫描工具
07-29
由于上传存在限制,下载后解压可以看到下载链接,然后按照下面步骤安装即可 第一步:下载解压文件,支持AppScan_Std_9.0.3.7_Eval_Win .exe双击安装 第二步:安装完成以后安装9.0.3.7_iFix003-Update更新包 第三步:安装完更新包打开您的破解补丁文件夹,将里面的LicenseProvider.dll和AppScanSDK.dll复制到安装路径下替换源文件
appscan教程
03-25
 AppScan是业界第一款并且是领先的web应用安全测试工具包,也是唯一一个在所有级别应用上提供全面纠正任务的工具
编辑器,编译器,IDE的区别
2303_79973545的博客
04-27 500
Integrated Development Environment )是用于提供程序开发环境的应用程序,一般包括代码编辑器、简单说编辑器是用来写代码的,而编译器是对现场高级语言代码翻译成相对低级语言的一段小程序/指令。简单说,就是集成了编辑器、编译器以及链接器等众多功能的一个集成开发环境。
chromedriver-linux64-V124.0.6367.91 稳定版
最新发布
04-30
chromedriver-linux64-V124.0.6367.91稳定版
appscan使用教程
06-02
AppScan是一种用于发现Web应用程序中的漏洞的工具。以下是一些AppScan使用的指南: 1. 安装和设置:下载并安装AppScan,然后打开它。在其首次使用之前,你需要设置一些参数,例如扫描引擎和扫描范围。这将确保工具正确地扫描您想要检查的Web应用程序。 2. 创建新扫描:在AppScan中创建新扫描,然后输入要扫描的Web应用程序的URL。你可以选择要扫描的范围和扫描选项,例如代理服务器,认证选项等。 3. 运行扫描:启动扫描,AppScan将开始扫描Web应用程序,并在扫描期间收集信息。你可以在扫描期间监控扫描进度和结果。 4. 分析结果:扫描完成后,你可以查看扫描结果并分析发现的漏洞。AppScan将为每个漏洞提供详细信息,例如漏洞类型,严重程度,影响范围等。 5. 确认漏洞:在分析结果之后,你需要确认每个漏洞是否是真正的漏洞。一些漏洞可能是误报,你需要对每个漏洞进行评估和确认。 6. 解决漏洞:确认漏洞后,你需要采取措施解决它们。这可能包括修改Web应用程序代码,更新配置或应用程序补丁等。 总之,使用AppScan帮助你发现Web应用程序中的漏洞并采取措施解决它们,以确保应用程序的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值