安全测试--AppScan

最新推荐文章于 2024-05-14 16:40:27 发布
最新推荐文章于 2024-05-14 16:40:27 发布
阅读量1.4k 收藏 10
点赞数 1
文章标签: 测试工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunshine_cxy/article/details/130678315
版权

目录

一、测试工具

二、测试步骤

三、AppScan使用特别注意事项

一、测试工具

AppScan,即 AppScan standard edition。其安装在 Windows 操作系统上,可以对网站等 Web 应用进行自动化的应用安全扫描和测试。

简单理解,就是AppScan工具先抓取出所有的接口,接着利用自身的安全用例库,对接口传各种参数,验证接口是否有安全漏洞。

二、测试步骤

1、打开AppScan,文件--新建--扫描Web应用程序

 2、填写起始URL地址

这里有个坑:填写登录页面的地址,最好是未登录之前,因为有的页面没有做重定向处理,后续测试的时候会一直提示登录。

比如登录页面的地址是https://XXX/Login,最好别填登录进去后的某个地址例如:https://XXX/Login/index

 注意:第一次启动时,会询问是否使用代理,选择不使用代理,点击下一步,下次不会再询问。

3、填写登录管理信息

 登录系统的方式,有三个选项:

1)记录:点击“记录”按钮,进行录制登录操作。操作类似于用LR做脚本录制,适用于没有验证码的场景。

2)自动:输入用户名和密码,扫描时会自动根据这个凭证登录应用程序,推荐没有验证码时,使用该场景。

3)提示:根据扫描地址,每次需要登录时会弹出相应登录页面,如遇后台登录有验证码时推荐使用此场景。

记录和自动的差别不大,都是适用于没有验证码的场景,而且都只需要输入一次用户名和密码,不同之处在于 「记录 」是在浏览器登录页面输入密码,「自动 」是直接在AppScan的页面输入密码。

4、测试策略

在实际测试过程中,要完整的测试就选「完成」策略,一般情况下选「缺省值」策略。

简单介绍下7种测试策略:

1)缺省值:包含多有测试,但不包含侵入式和端口侦听器

2)仅应用程序:包含所有应用程序级别的测试,但不包含侵入式和端口侦听器

3)仅基础结构:包含所有基础结构级别的测试,但不包含侵入式和端口侦听器

4)侵入式:包含所有侵入式测试(可能影响服务器稳定性的测试)

5)完成:包含所有的AppScan测试

6)关键的少数:包含一些成功可能性较高的测试精选,在时间有限时对站点评估可能有用

7)开发者精要:包含一些成功可能性极高的应用程序测试的精选,在时间有限时对站点评估可能有用

5、测试优化

自主选择即可

6、完成

1)启动全面自动扫描:会自动探索URL,而且边探索边扫描页面,也就是边扫描边测试

2)仅使用自动“探索”启动:自动探索URL,不做扫描,只是探索出所有的接口,不对接口进行任何操作

3)使用“手动探索”:手动去访问页面,AppScan会自动记录你访问页面的url

4)我将稍后启动扫描:AppScan不做任何操作,需要自己手动去启动扫描

 7、保存文件

8、进行第一遍的探索结果

9、扫描结束点击工具栏的“扫描”中的“仅测试”,查看测试结果

10、导出报告

 三、AppScan使用特别注意事项

【1】AppScan扫描过程中,会向服务器发送较多请求,会占用一定的正常请求访问的资源,可能导致一些垃圾数据,建议只在本地测试环境执行

【2】使用AppScan之前,请提前备份好数据库的数据,假若扫描致使服务器异常关闭,则需重启服务;若扫描产生的请求数据过多,或Web程序出现异常,可能需要从备份数据恢复还原。一般情况下,正常扫描Web程序很少可能出现Web服务异常的情形

【3】AppScan扫描配置时,有区分为Web Application(Web应用程序)和Web Service(Web服务)的扫描方向。若只对Web程序本身的漏洞检测,就选Web Application扫描即可;

若选择Web Service扫描,则需提前告知服务器维护的负责人,建立异常情况发生的处理机制,最好避开访问请求的高峰or办公人员集中使用的时间,比如下班后自动扫描 

【4】AppScan扫描的结果并不代表完全真实的情况,受限于所用扫描器版本的漏洞规则库的规则,以及操作者的配置策略,扫描过程中有可能会使得扫描器出现误判or漏测

如有必要,还需对扫描的结果进行人工校验,可对同一Web应用分次进行扫描对比差异性

【5】扫描配置时,一般按照默认的测试策略-WASC威胁分类即可;若服务器本身所能承受的性能压力不强,or存在较多漏洞的时候,不宜选择“侵入式”策略,该策略存在着可能会入侵服务器、关闭服务、破坏数据库等风险

【6】使用破解版的AppScan扫描Web应用时,若Web网站本身结构比较复杂、模块众多、涉及的url数目巨大(几万-十多万),

则不宜一次性全站扫描,有可能连续扫描几个小时都不能探索完网站的所有结构。持续时间过长还可能造成AppScan出现卡顿,显示“正在扫描中”,但实际上已经没有继续再扫描。

因此,当第一次探索了大概的网站结构和容量之后,若容量巨大,最好分而治之,按模块结构分批进行扫描测试

【7】结果分析(Analysis)

在APPScan扫描结果基础上,根据不同的严重级别进行排序、手工+工具验证的方式对漏洞验证可靠性,排除误报的情况,并尽可能找出漏报的情况,把本次扫描结果汇总,对以上已验证存在的安全漏洞排列优先级、漏洞威胁程度,并提出每个漏洞的修复建议

然后,再把此次安全漏洞整理的报告提交给项目负责人,由负责人决定哪些漏洞转给开发工程师修复,而后再由安全测试工程师进行回归验证修复的状况

sunshine_cxy
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web安全扫描工具:Appscan安装和使用,无偿分享安装包与教程
顶峰
09-25 1303
AppScan安装与使用
安全测试漏扫工具-HCL AppScan-10.5.0(28368)-2024年4月-下载
04-12
能够轻松地将完整的测试列表(不包括变体)从测试策略导出到 CSV 文件,无论测试是否启用。 问题视图中的高级搜索:通过在请求/响应或问题表中搜索特定字符串,轻松浏览数据。 添加了新的测试策略: OWASP 十大 ...
安全测试工具appscan教程
02-16
该文档是关于安全测试工具appscan的教程,主要介绍了工具的基础安装以及简单的运用,适合刚刚开始研究安全测试工具的学习者使用。
漏扫工具appscan的简介与使用(个人学习)
qq_57774303的博客
11-13 254
1.1AppScan入门工作原理详解AppScan,即 AppScanstandard edition。其安装在 Windows 操作系统上,可以对网站等 Web 应用进行自动化的应用安全扫描和测试。Appscan是web应用程序渗透测试舞台上使用最广泛的工具之一.它是一个桌面应用程序,它有助于专业安全人员进行Web应用程序自动化脆弱性评估。(Flash支持: 8.0 Appscan相对早期的版本增加了flash支持功能,它可以探索和测试基于Adobe的Flex框架的应用程序,也支持AMF协议。
黑客工具之AppScan安装,超详细使用教程(附安装包)
最新发布
Python单行客的博客
05-14 623
黑客工具之AppScan安装,超详细使用教程(附安装包)
漏扫工具Appscan使用(非常详细)从零基础入门到精通,看完这一篇就够了。
qq_44005305的博客
10-15 1545
名称填写为cookie,内容为复制的cookie字段**(只复制引号里面的内容)**扫描开始有些目录会存在XX,
[Web安全测试] AppScan使用教程
Joe0404的博客
08-13 4378
在使用AppScan的时候,通过配置网站的URL网址,AppScan会利用“探索”技术去发现这个网站存在多少个目录,多少个页面,页面中有哪些参数等,即探索出网站的整体结构。1)若登录方法选择“记录”,则可通过界面右侧的“记录(R)”按钮打开APPScan浏览器并输入登录信息,关闭浏览器后,AppScan即可记录该用户名和密码,扫描的时候相当于是已登录此账户的状态进行扫描;注意:扫描过程中,若扫描时间较长,可自动让其扫描,或者点击“暂停”-保存本次扫描,然后下次继续未扫描的过程;
AppScan安全扫描工具-IBM Security App Scan Standard
热门推荐
学习那点事儿的专栏
06-19 5万+
1、AppScan是什么? AppScan是IBM的一款web安全扫描工具,可以利用爬虫技术进行网站安全渗透测试,根据网站入口自动对网页链接进行安全扫描,扫描之后会提供扫描报告和修复建议等。 AppScan有自己的用例库,版本越新用例库越全(用例库越全面,对漏洞的检测较全面,被测试系统的安全性则越高) 工作原理: 1)通过探索了解整个web页面结果 2)通过分析,使用扫描规则库对修改的H...
AppScan使用教程
lemon_linaa的博客
12-12 5395
Rational AppScan 可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)、缓冲区溢出(buffer overflow)及最新的 Flash/Flex 应用及 Web 2.0 应用曝露等方面安全漏洞的扫描。②仅应用程序:包含所有应用程序级别的测试,但不包含侵入式和端口侦听器。③仅基础结构:包含所有基础结构级别的测试,但不包含侵入式和端口侦听器。
安全测试AppScan手册
04-08
安全测试AppScan手册安全测试AppScan手册安全测试AppScan手册安全测试AppScan手册安全测试AppScan手册安全测试AppScan手册安全测试AppScan手册安全测试AppScan手册安全测试AppScan手册安全测试AppScan手册安全测试...
AppScan安全测试总结.docx
06-30
AppScan是IBM公司出的一款Web应用安全测试工具,采用黑盒测试的方式,可以扫描常见的web应用安全漏洞。 其工作原理,首先是根据起始页爬取站下所有可见的页面,同时测试常见的管理后台;获得所有页面之后利用SQL注入...
appscan web安全测试工具
11-21
AppScan是对网站等WEB应用进行安全攻击,通过真刀真枪的攻击,来检查网站是否存在安全漏洞,在使用AppScan的时候,要配置的第一个就是要检查的网站的地址,配置了以后,AppScan就会利用“探索”技术去发现这个网站...
appscan 9 安全测试工具
04-20
AppScan 是对网站等 Web 应用进行安全攻击来检查网站是否存在安全漏洞;既然是攻击,需要有明确的攻击对象吧,比如北约现在的对象就是卡扎菲上校还有他的军队。对网站来说,一个网站存在的页面,可能成千上万。每个...
安全测试AppScan:下载与安装
顾三殇 —— 博客空间(软件测试)
11-10 3万+
一、AppScan 下载 二、AppScan 安装 (1)使用超级管理员权限,以管理员身份运行 “AppScan_Setup_10.0.0.exe” 安装 (2)将文件夹中 rcl_rational.dll 文件复制到软件安装目录下替换 (3)打开AppScan ,导入AppScanStandard.txt 作为许可证 (4)安装成功开始使用
安全测试工具APPScan安装与使用教程
liuhyusb的博客
11-01 1213
安全测试工具一、安装1、右键安装文件,以管理员身份运行,如下图所示:2、点击【确定】3、点击【安装】4、选择:我接受许可协议中单位全部条款,点击【下一步】5、点击【安装】到该目录6、如果需求扫描Web services点击【是】安装该插件,如果不需要点击【否】如果只是扫描web就不需要安装7、点击【完成】8、安装完成之后把LicenseProvider.dll文件将它复制放到安装目录下覆盖原来的1、打开AppScan软件,点击工具栏上的 文件–>新建,出现一个dialog。
Web端安全测试--IBM Security AppScan Standard 工具使用手册
zm13809的博客
04-27 1698
对测试对象发起攻击后,服务器会给出相应的返回,得到返回数据,AppScan会对攻击后的反馈数据与正常的访问返回数据进行对比,在根据自身的规则库进行对比,从而得分析是否存在安全漏洞,并从规则库中申请相应的修改建议。注意:若需要登录,则点击【记录】按钮,默认使用AppScan浏览器打开网址,输入账号密码登录成功后,登录序列就会被记录,由于记录登录需要借助CA认证整数获取,本文以页面非登录验证。使用Appscan扫描建议:如果扫描的系统元素较多,需要合理配置扫描信息,否则可能导致扫描的时间过长,扫描效率过低。
AppScan入门(一) —Web漏洞扫描工具AppScan的安装(win10系统亲测ok)
前进者
05-30 2825
目前项目等保测评时,需要对web漏洞扫描,因为要复现等保的问题,采用AppScan进行了测试首先我们对AppScan进行下载安装。
【网络安全基础学习】 渗透工具--AppScan详细使用教程
fly_enum的博客
08-31 454
IBM AppScan 该产品是一个领先的 Web 应用安全测试工具,曾以 Watchfire AppScan 的名称享誉业界。Rational AppScan 可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)、缓冲区溢出(buffer overflow)及最新的 Flash/Flex 应用及 Web 2.0 应用曝露等方面安全漏洞的扫描。
appscan10.0.3
10-26
AppScan 10.0.3是一款由IBM公司开发的应用程序安全扫描工具。它可以帮助开发人员和安全专家发现应用程序中的安全漏洞和弱点,并提供相应的修复建议。 AppScan 10.0.3具备多项功能和优势。首先,它支持多种应用程序类型的扫描,包括Web应用程序、移动应用程序和Web服务等。这意味着用户可以在不同的平台上使用该工具,并且能够对各种类型的应用程序进行全面的安全检查。 其次,AppScan 10.0.3具有检测漏洞的能力。它可以自动发现常见的安全漏洞,如跨站点脚本(XSS)、SQL注入、身份验证和会话管理漏洞等,帮助用户及时发现和修复这些潜在的安全风险。 此外,AppScan 10.0.3还提供了漏洞修复建议。在扫描后,它能够生成详细的报告,指出应用程序中存在的安全漏洞,并提供相应的修复建议。这使得开发人员能够及时采取措施解决这些问题,确保应用程序的安全性和稳定性。 最后,AppScan 10.0.3还具有用户友好的界面和易用性。它提供了直观的操作界面,使用户能够轻松地配置扫描设置、控制扫描过程并查看扫描结果。 总结来说,AppScan 10.0.3是一款功能强大、易用的应用程序安全扫描工具。它的多种扫描能力、漏洞检测和修复建议等特性使得用户能够及时发现和解决应用程序中的安全问题,提高应用程序的安全性和可靠性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值