Appscan安全扫描工具入门使用说明

最新推荐文章于 2024-07-13 09:28:15 发布
最新推荐文章于 2024-07-13 09:28:15 发布
阅读量4k 收藏 19
点赞数 3
分类专栏: 安全测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuijiaxiaowei/article/details/109320493
版权

目录

 

一.介绍

二.3个核心要素

三.下载与安装

3.1下载

3.2安装

四.Web端简单用法

五.扫描设置

5.1登录管理

5.2环境定义

5.3排除路径和文件

5.4探索选项

5.5通信和代理

5.6测试策略与测试选项

六.生成报告

6.1查看结果

6.2 生成pdf报告

七.其它

7.1正则表达式示例

七.APP简单用法

7.1选择外部设备

7.2电脑开启wifi

7.3记录代理

7.4手机下载SSL证书(为了访问https开头的域名)

一.介绍

        AppScan,即 AppScan standard edition。其安装在 Windows 操作系统上,可以对网站等 Web 应用进行自动化的应用安全扫描和测试。

        Rational AppScan(简称 AppScan)其实是一个产品家族,包括众多的应用安全扫描产品,从开发阶段的源代码扫描的 AppScan source edition,到针对 Web 应用进行快速扫描的 AppScan standard edition,以及进行安全管理和汇总整合的 AppScan enterprise Edition 等。我们经常说的 AppScan 就是指的桌面版本的 AppScan,即 AppScan standard edition。其安装在 Windows 操作系统上,可以对网站等 Web 应用进行自动化的应用安全扫描和测试。

 

二.3个核心要素

  • 通过搜索(爬行)发现整个 Web 应用结构
  • 根据分析,发送修改的 HTTP Request 进行攻击尝试(扫描规则库)
  • 通过对于 Respone 的分析验证是否存在安全漏

    AppScan 的核心是提供一个扫描规则库,然后利用自动化的“探索”技术得到众多的页面和页面参数,进而对这些页面和页面参数进行安全性测试。“扫描规则库”,“探索”,“测试”就构成了 AppScan 的核心三要素。而在安全扫描过程中,如何进行优化,就要结合这三个要素,看哪些部分需要优化,应该如何优化。

 

三.下载与安装

 

3.1下载

IBM Appscan9.0.3下载地址:http://pan.baidu.com/s/1slmcHzR 密码: xtyf

 

3.2安装

1.直接点击AppScan_Std_9.0.3.5_Eval_Win.exe安装

2.安装成功之后把LicenseProvider.dll拷贝到AppScan安装目录。覆盖原来的LicenseProvider.dll

3.比如我的目录是C:\Program Files (x86)\IBM\AppScan Standard

 

四.Web端简单用法

1.双击IBM Security AppScan Standard后弹出窗口:

2.点击 创建新的扫描 ->  点击”常规扫描“,会看到如下图:

3.点击完全扫描配置,可以在此进行配置,也可以点击下一步,根据向导进行配置,我们点击下一步:

4.点击下一步,进入登录管理配置,因为有些页面需要登录后 才能做有效的扫描,这里记录的是登录所需信息,便于扫描时能登录应用程序。总共有4种方法,比较常用的是“记录”和“自动”。

记录: 点击“记录”按钮,进行录制登录操作。操作类似于用LR做脚本录制。

自动:输入用户名和密码,扫描时会自动根据这个凭证登录应用程序。

5.选择一种测试策略(本例以完成为例):测试策略说明:

  • 缺省值:包含多种测试,但不包含侵入式和端口侦听器
  • 仅应用程序:包含所有应用程序级别的测试,但不包含侵入式和端口侦听器
  • 基础结构:包含所有基础结构级别的测试,但不包含侵入式和端口侦听器
  • 侵入式:包含所有侵入式测试(可能影响服务器稳定性的测试)
  • 完成:包含所有的AppScan测试
  • 关键的少数:包含一些成功可能性较高的测试精选,在时间有限时对站点评估可能有用
  • 开发者精要:包含一些成功可能性极高的应用程序测试的精选,在时间有限时对站点评估可能有用

6.AppScan 的扫描分三类:完全扫描、仅探索、仅测试

  • 如果系统需要扫描的页面或是元素较少可以直接选中完全扫描(其实就是探索和测试一条龙服务)
  • 如果页面需要扫描的页面和元素比较多时,可以分开来,先探索,探索完成后再进行测试。
  • 探索也就是扫描出整个系统的基本结构和页面。
  • 测试就是根据你所配置的信息如测试策略、深度等等对页面中的元素进行测试,从而得出安全性问题
  • 如果只是对系统中某个模板进行扫描的话,可以通过“手动探索”获取需要扫描的指定页面

7.扫描:点击 完成 后 如果勾选了 扫描专家 ,会先启动 扫描专家 进行扫描优化(我比较烦这个,所以不勾选),就直接进入扫描了。

五.扫描设置

5.1登录管理

 

5.2环境定义

可以不进行更改,直接默认就好:

 

5.3排除路径和文件

有需要的排除的路径和文件可以在这里添加。对于那些无关紧要的网址可以在这边排除掉。

 

5.4探索选项

 

 

5.5通信和代理

 

5.6测试策略与测试选项

在测试策略中,有多种不同的分组模式,最经常使用的是“严重性”,“类型”,“侵入式”、“WASC 威胁分类”等标准,根据不同分组选择的扫描策略,最后组成一个共同的策略集合。

 

六.生成报告

6.1查看结果

点击右上角的问题,查看检测出的问题、严重性以及产生的原因:

 

6.2 生成pdf报告

点击报告,勾选要导出的字段,筛选信息,生成报告,会生成pdf文件:

 

七.其它

7.1正则表达式示例

  • http://xx.xx.com.cn/forum-15580.html                                 正则表达式:.*forum-\d+.html
  • http://xx.xx.com.cn/bbs6/forum-16071-2.html                     正则表达式:.*forum-\d+-+\d+.html
  • http://xx.xx.com.cn/bbs6/pick_101-16260.html                   正则表达式:.*pick_\d+-+\d+.html
  • http://xx.xx.com.cn/bbs6/type_g539fg521b-16071.html      正则表达式:type[_a-z0-9]+-+\d+.html
  • http://xx.xx.com.cn/bbs6/forum-16260_postat.html             正则表达式:forum-\d+_+postat+.html
  • http://xx.xx.com.cn/bbs6/forum-16071-10_replyat.html       正则表达式:forum-\d+-+\d+_+replyat+.html
  • http://xx.xx.com.cn/bbs6/time_0-16071-4.html                    正则表达式:.*time_\d+-+\d+-+\d+.html
  • http://xx.xx.com.cn:8002/price/q-p1.html                             正则表达式:q+-+[a-z]\d+.html

 

七.APP简单用法

7.1选择外部设备

 

7.2电脑开启wifi

电脑开启wifi,然后手机连上此wifi

 

7.3记录代理

 

设置好后,电脑会收到手机的传入连接

 

在选项中的记录代理中生成一条白名单

 

7.4手机下载SSL证书(为了访问https开头的域名)

手机打开浏览器,输入http://appscan,下载证书

 

 

晓伟晓伟
关注
  • 3
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
《IBM Security AppScan Standard 使用方法,本人实践》
【✎__三味書屋】的博客
11-15 3万+
欢迎大家访问!!^_^
AppScan的用法
He_200988的专栏
09-22 6689
一、AppScan的工作原理 对一个综合性的大型网站来说,可能存在成千上万的页面。以登录界面为例,至少要输入用户名和密码,即该页面存在两个字段,当提交了用户名和密码等登录信息,网站需要检查是否正确,这就可能存在一个新的检查页面。这里的每个页面的每个参数都可能存在安全漏洞,可能成为被攻击对象。AppScan正是通过按照设定策略和规则,对Web应用进行安全攻击,以此来检查网站是否存在安全漏洞。 在使用AppScan的时候,通过配置网站的URL网址,AppScan会利用“探索”技术去发现这个网站存在多少个目录
2024最新APPScan Standard10.3.0版下载
weixin_43167326的博客
12-28 1304
APPScan Standard是一款动态应用程序安全测试工具,专为安全专家和渗透测试人员设计。它可以对Web应用程序进行全面的漏洞扫描安全性评估,以发现潜在的漏洞和安全风险。 HCL AppScan Standard具有以下特点和功能: 自动化扫描:可以自动扫描Web应用程序,发现可能的漏洞和弱点,无需手动操作。 深入的漏洞检测:支持针对常见漏洞(如SQL注入、跨站脚本等)的深度扫描和检测,以及对自定义漏洞的识别。 漏洞报告和分析:生成详细的漏洞报告,并提供分析和建议,帮助安全专家和渗透测试
安全工具 | AppScan漏洞扫描工具标准版免费安装、配置及使用指导(附工具下载链接)
最新发布
Javachichi的博客
07-13 748
使用业界最强大的DAST扫描引擎,内置数万个扫描规则,支持自动检索目标应用程序并测试漏洞;:测试结果按优先级排列,允许测试人员快速分类问题、发现最关键的漏洞;:检测到的每个问题都将提供清晰且可操作的修复建议,可以指导开发人员快速修复安全问题;:持续测试和评估网页服务和应用程序风险有助于防止破坏性的安全漏洞的出现,减轻测试及运维人员压力极大地提升效率。HCL Software 是 HCL Technologies(HCL) 的一个部门,负责运营其主要软件业务。
Web端安全测试--IBM Security AppScan Standard 工具使用手册
m0_60634964的博客
04-06 677
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
APPSCAN使用
seamyjiang的专栏
06-12 327
1、进入应用程序双击快捷图标,进入应用程序 2、新建扫描文件>新建>常规扫描3、扫描配置向导1)选择扫描类型:web应用程序扫描》下一步2)输入起始URL:http://192.168.23.23:8080/zpfw,勾选我需要配置其他连接设置(代理、平台认证),点击下一步3)勾选不使用代理,选择下一步  4)登录方法选择记录(推荐),点击下一步  5)测试策略:定制 ,点击下一步6)...
Appscan中文使用说明
05-06
对于Appscan的一些高级功能,如主工具栏的使用、报告生成等,入门指南中也会有所涉及,帮助用户充分利用Appscan的各项功能。 最后,用户在使用Appscan时,应当注意版权和隐私声明,确保遵守相关的法律和条款。 在...
Appscan的初级入门
04-18
开始AppScan扫描: 免费试用版可以从IBM官方网站下载。启动AppScan,选择“创建新扫描”,然后选择适合的扫描模板。模板包含了预定义的扫描配置。配置向导是关键,它允许你指定扫描类型、起始URL以及其他参数。扫描...
APPSCAN 入门
06-05
webscan 快速入门 是一个很不错的web扫描工具
APPscan9.0基本使用说明
01-16
APPscan9.0基本使用说明书,详细介绍appscan9.0的使用方式。
appscan_scan
05-25
appscan扫描字节搭建的tipask网站,这个是扫描结果
AppScanStandard.txt
05-12
AppScan是用于web项目的安全测试工具扫描网站所有url,自动测试是否存在各种类型的漏洞。appscan安装在Windows环境上,版本越高,规则库越全,扫描越全面。
AppScan扫描工具
11-21
AppScan是IBM的一款web安全扫描工具,可以利用爬虫技术进行网站安全渗透测试,根据网站入口自动对网页链接进行安全扫描扫描之后会提供扫描报告和修复建议等。 AppScan有自己的用例库,版本越新用例库越全(用例库越全面,对漏洞的检测较全面,被测试系统的安全性则越高)
安全性测试工具AppScan用户指南
11-05
**AppScan** 是一款由 IBM Rational 开发的安全性测试工具,主要用于 Web 应用程序的安全扫描。通过自动化的方式,该工具能够帮助开发人员及安全专家发现 Web 应用中的潜在安全漏洞,并提供相应的修复建议。 在最新...
如何使用AppScan
weixin_42874924的博客
11-23 296
1.启动软件进入主界面—>选择创建新的扫描: 2.在弹出的新建扫描对话框中选择常规扫描 3.在弹出的扫描配置向导对话框中选择AppScan(自动或手动),点击下一步 4.在此页面中填写需要扫描系统的网址,点击下一步 5.选择登陆方式为记录,(也可以选择自动:自己手动输入用户名和密码)点击下一步 6.测试策略说明: ①缺省值:包含多有测试,但不包含侵入式和端口侦听器 ②仅应用程序:包含所有应用程序级别的测试,但不包含侵入式和端口侦听器 ③仅基础结构:包含所有基础结构级别的测试,但不包含侵入式和
AppScan--图解Web扫描工具IBM Security App Scan Standard
六月心悸
11-23 1万+
公司要扫描个Web系统漏洞,所以就简单的学习了下。 App Scan用法: 首先打开IBM Security AppScan Standard 工具 点击 创建新的扫描 ->  点击”常规扫描“ ->之后你就会看到如下图: 这里你可以直接点击 ”下一步“ 或是点击 ”完整扫描配置“ 先点击 ”完整扫描配置“ URL 和服务器
AppScan安全扫描工具-IBM Security App Scan Standard
热门推荐
学习那点事儿的专栏
06-19 5万+
1、AppScan是什么? AppScan是IBM的一款web安全扫描工具,可以利用爬虫技术进行网站安全渗透测试,根据网站入口自动对网页链接进行安全扫描扫描之后会提供扫描报告和修复建议等。 AppScan有自己的用例库,版本越新用例库越全(用例库越全面,对漏洞的检测较全面,被测试系统的安全性则越高) 工作原理: 1)通过探索了解整个web页面结果 2)通过分析,使用扫描规则库对修改的H...
appscan漏洞扫描使用说明
07-14
AppScan是一款流行的漏洞扫描工具,用于识别和评估Web应用程序中的安全漏洞。以下是AppScan漏洞扫描的基本使用说明: 1. 安装和配置:下载并安装AppScan,然后按照提供的指南进行基本配置。确保您的系统满足最低要求并具有适当的许可证。 2. 创建项目:在AppScan中创建一个新项目,提供相关信息,如目标URL和认证凭据(如果需要)。您还可以选择其他配置选项,如扫描深度和扫描策略。 3. 配置扫描选项:根据您的需求选择适当的扫描选项。您可以选择执行全面扫描或仅针对特定漏洞类别执行扫描。 4. 启动扫描:点击"开始扫描"按钮启动扫描AppScan将自动访问目标URL,并尝试发现潜在的漏洞。 5. 查看扫描结果:一旦扫描完成,您可以查看扫描结果报告。报告将列出检测到的漏洞及其严重性级别。您可以通过报告中提供的详细信息,了解每个漏洞的具体细节和修复建议。 6. 修复漏洞:基于AppScan扫描结果,您应该尽快修复检测到的漏洞。根据漏洞的严重性级别,您可以优先处理高风险漏洞。 7. 定期扫描:漏洞扫描不是一次性任务,建议定期使用AppScan对Web应用程序进行扫描,以确保持续的安全性。 请注意,这只是AppScan的基本使用说明。根据您的具体需求和环境,您可能需要更多高级配置和操作。建议参考AppScan的官方文档和用户手册,以了解更多详细信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值