利用Appscan对REST Web service进行安全扫描

最新推荐文章于 2024-08-02 19:30:00 发布
最新推荐文章于 2024-08-02 19:30:00 发布
阅读量5.9k 收藏 8
点赞数 2
分类专栏: 安全测试 文章标签: APPSCAN REST Web service 安全 API
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/trulyfeixue/article/details/86612854
版权
本文详细阐述了如何利用 Rational AppScan 对 REST Web 服务进行安全扫描,包括对调用服务应用程序的手动探索和使用代理进行安全扫描。通过与POSTMAN或SOUPUI的配合,可以有效地检测RESTful API的安全漏洞,确保接口服务的安全性。
摘要由CSDN通过智能技术生成

        近年来 Web 服务应用日趋广泛,人们往往利用 Web 服务集成不同平台的应用程序,或是将公共服务通过服务接口暴露给外部用户使用。这样便为黑客利用 Web 服务攻击企业应用提供了可乘之机。本文主要介绍如何利用 Rational AppScan 检测 Web 服务的安全漏洞。

目前使用的Web service主要为基于SOAP协议和基于REST架构,而基于REST架构越来越受到欢迎。众所周知,Rational AppScanGSCSOAP类型的web服务安全扫描提供了很好的解决方案,这里不再介绍。

对于REST类型的web服务,通过解读IBM的官方文档,可以知道主要有两种方法:

最低0.47元/天 解锁文章
考拉007
关注
专栏目录
由一次安全扫描引发的思考:如何保障-API-接口安全性?(1)
04-12 311
我们上面对请求的参数进行了一系列的处理,总体思想是防止第三方进行抓包和破解,但是如果我不是第三方呢,比如我就在浏览器的 network 中进行抓包,这个请求中的数据我就能看的清清楚楚明明白白,攻击者可以先通过正规的途径进行访问,当分析清楚我们的套路后再对请求进行伪造,开始攻击,这时我们前面的努力好像就都白费了。当前,由于前端是完全不可被信任的,上面这几个字段都是可以被篡改和模拟的(我在前面写爬虫的文章中绝对写过),但是,能做的校验尽量做,我们不能一次把所有的漏洞都堵上,但是至少能堵上一部分。
web安全扫描---使用AppScan进行扫描
ff137_的博客
07-11 1597
这几天任务比较少,闲来无事,学习一下AppScan安全扫描的简单使用,顺便记录一下 需要注意的是,在执行安全测试时,会产生很多的垃圾数据,千万不要使用生产(正式)环境来做安全扫描!!! 一、扫描前配置 打开AppScan-创建新的扫描-常规扫描,进入扫描配置阶段 选择扫描类型,下一步 输入扫描系统的URL,下一步 使用默认的登录方法(也可以选择自动,...
003、APPScan扫描Web应用步骤
最新发布
mrx9520的博客
08-02 161
3 在弹出的扫描配置向导页面,输入URL,勾选“仅扫描此目录中或目录下的链接”,点击【下一步】7 点击【下一步】-【下一步】,进入完成配置向导页面,勾选仅探索,点击【完成】8 弹出自动保存页面(可选),选择路径,保存扫描文件,开启自动探索。点击【完全扫描配置】,在扫描配置页面,据测试申请表勾选扫描策略。1) 记录:使用已记录的登录序列登录应用程序;2) 自动:使用输入的凭证自动登录应用程序。3) 提示:需要登录时提示使用者手动登录;9 探索完成后,点击【扫描】-【完全扫描
由一次安全扫描引发的思考:如何保障 API 接口安全性?
极客挖掘机
05-27 766
引言 前段时间,公司对运行的系统进行了一次安全扫描,使用的工具是 IBM 公司提供的 AppScan 。 这个正所谓不扫不要紧,一扫吓一跳,结果就扫出来这么个问题。 我们的一个年老失修的内部系统,在登录的时候,被扫描出来安全隐患,具体学名是啥记不清了,大致就是我们在发送登录请求的时候,有个字段名是 password , AppScan 认为这个是不安全的,大概就是下面: 我第一个反应是把这个字段名字改一下,毕竟能简单解决就简单解决嘛,结果当然是啪啪啪打脸。 这个名字我不管是换成 aaa 还是 bbb ,.
AppScan 扫描web应用程序
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
01-16 1181
AppScan Web应用扫描
AppScan-web应用扫描
weixin_49349476的博客
04-30 440
在登录管理中,选择无,如果进入靶场需要账号和密码登录,则需要点击记录,我这里实验的靶场不需要登录,所以选择无。测试优化就是测试速度。不同的测试速度,在测试时间和准确性上的效果不同,如果不知道测试策略的内容,就可以先点击,在点击完全扫描配置。如果是第一次启动,可能会有个连接设置,选择不使用代理即可。输入扫描的地址URL,在输入之后,会自动检测是否能连接。如果选择是,就是保存扫描,之后就可以直接打开使用。1点击软件,进入AppScan,选择新建。选择扫描配置向导后,选择启动的方式。还勾选,增加扫描的功能。
AppScan实战——web扫描
m0_61506558的博客
08-16 793
AppScan的简单操作
Web安全扫描工具:appscan安装和使用
08-19
Web安全扫描工具AppScan是IBM Rational推出的一款强大的应用安全扫描软件,主要针对Web应用程序的安全检测。AppScan家族包含了多种版本,如Source Edition用于源代码安全扫描,Standard Edition用于Web应用的快速...
安全扫描工具AppScan10
05-29
IBM的AppScan是一款业界公认的安全扫描工具,主要用于检测Web应用程序的安全漏洞。AppScan 10.2.0是该系列的最新版本,经过实际测试,证明其功能强大且稳定可靠。这款工具的核心价值在于帮助开发者和安全团队在开发...
web安全 扫描工具 Appscan .zip
05-27
一款强大的 web安全 扫描工具,可以对网站等 Web 应用 进行自动化的 应用安全扫描和 测试。
wsdigger(service接口扫描工具)
09-21
wsdigger,一款非常好用的service接口安全扫描工具,已确认可以正常使用。不用注册,就可以使用。操作也非常简单。
十大web安全扫描工具
12-14
十大web安全扫描工具十大web安全扫描工具
rational rosa_使用Rational AppScanWeb应用程序进行自动漏洞扫描
cuyi7076的博客
06-22 519
随着全球连接的增加,安全风险也在增加 根据IBM®X-Force®2011年中期趋势和风险报告,由于在2011年上半年报告了数量众多的重大安全漏洞,因此2011年可被视为“安全漏洞年”。全球范围和规模的更加互连,智能和有仪器的网络世界导致风险和危险增加,对企业和基础架构的网络安全攻击也变得更加复杂且难以管理。 该报告显示,2011年上半年,所有漏洞中的37%来自Web应用程序漏洞。无法...
API接口安全测试方法大全(附一键化扫描工具)
2302_76672693的博客
06-27 4845
API接口安全测试方法大全(附一键化扫描工具)
AppScan入门(二) — Web漏洞扫描工具AppScan的使用
前进者
05-30 2634
如果有登录页,可以结合自己的项目进行选择,我选择的“记录(推荐)”,和chrome浏览器。,安装完后,进行实操,常用的基本操作,防止自己后期使用忘记,也给用到的朋友一个参考。3、如果扫描的网址url,无登录页,可选择“无”,,选择无,可以直接到第五步。2、输入需要扫描的URL,如果显示已连接到服务器,证明ok,点击下一步。5、选择测试策略,根据自己的需求,进行选择,我选择“缺省值”—下一步。7、完成扫描配置,选择“启动全面自动扫描”—“下一步”8、选择“是”,自动扫描开始,会弹出弹框保存文件。
由一次安全扫描引发的思考:如何保障 api 接口安全性?
爱写代码的程序员
05-29 344
引言 前段时间,公司对运行的系统进行了一次安全扫描,使用的工具是 IBM 公司提供的 AppScan 。 这个正所谓不扫不要紧,一扫吓一跳,结果就扫出来这么个问题。 我们的一个年老失修的内部系统,在登录的时候,被扫描出来安全隐患,具体学名是啥记不清了,大致就是我们在发送登录请求的时候,有个字段名是 password , AppScan 认为这个是不安全的,大概就是下面: 我第一个反应是把这个字段名字改一下,毕竟能简单解决就简单解决嘛,结果当然是啪啪啪打脸。 这个名字我不管是换成 aaa 还是 bbb ,再
Burpsuite 指纹特征绕过
Javachichi的博客
12-05 2063
需要高版本 17 + 的 burp 运行插件,可 bypass 网站流量设备的检测,正常抓包。未使用插件前,burp 指纹特征被识别,抓包被拦截。
[网络安全自学篇] 八.Web漏洞及端口扫描之Nmap、ThreatScan和DirBuster原理详解
热门推荐
杨秀璋的专栏
09-06 1万+
Web渗透技术的核心是发现Web漏洞,发现漏洞有手工和软件自动化扫描两种方式。对于用户验证漏洞、用户凭证管理问题、SQL注入等常见Web漏洞,都可以通过Web扫描进行扫描。各个扫描器的功能和结果都不同,常见的包括HScan、HScan、X-Sccan、Acunetix Web Vulnerability Scanner、Jsky、Router Scan扫描工具等。本文主要讲解三个常见的Web漏洞扫描工具,分别是NMapp、ThreatScan和DirBuster。希望这篇基础性文章对你有所帮助.
使用AppScan进行Web安全扫描与测试教程
在实际使用中,AppScan扫描能力和配置向导使得用户能更高效地进行安全测试,同时,详细的报表系统帮助用户理解和处理发现的问题。通过这些功能,AppScan不仅帮助识别潜在的安全威胁,还提供了修复这些问题的具体...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

考拉007

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值