AppScan的工作原理
在使用AppScan的时候,通过配置网站的URL网址,AppScan会利用“探索”技术去发现这个网站存在多少个目录,多少个页面,页面中有哪些参数等,即探索出网站的整体结构。通过“探索”可确定测试的目标和范围,然后利用AppScan的扫描规则库,针对发现的每个页面的每个参数,进行安全检查。
APPScan扫描操作教程
1、打开AppScan
2、文件-->新建-->创建新的扫描,弹出配置向导窗口,选择第一项:扫描web应用程序
注意:选择第二项Web Service扫描功能时,需要提前下载安装好GSC Web Services记录器
3、在URL输入框输入的地址即为被测网址or其IP地址,点击“下一步”
4、登录方法:根据实际需要选择(如:自动),用户名和密码即为被测网站的登录账户,点击“下一步”
注意:
1)若登录方法选择“记录”,则可通过界面右侧的“记录(R)”按钮打开APPScan浏览器并输入登录信息,关闭浏览器后,AppScan即可记录该用户名和密码,扫描的时候相当于是已登录此账户的状态进行扫描;
2)若选择“提示”,则根据网站扫描探索过程中需要登录会提示输入登录信息,人工输入正确的账号信息之后继续扫描;
3)若选择“无”,则不需输入登录账户
5、选择适当的测试策略(一般保持默认选择,即“缺省值”),点击“下一步”
6、测试优化,可根据具体需要选择是否优化,体现了扫描速度和时间长短,一般首次扫描选择无优化,进行全站扫描
7、设置启动模式,根据实际需要选择(如:全面自动扫描),点击“完成”,即可开始启动扫描or测试
注意:
1)全面自动扫描:探索的同时,也进行攻击测试;
2)仅自动“探索”:自动探索网站的目录结构,可被测的链接范围及数目,不作实际攻击测试;
3)手动探索:先通过AppScan浏览器打开被测网站,手动点击不同的目录页面,然后AppScan会进行相关的记录;
4)稍后启动扫描:先把此次网站的扫描配置进行保存,后续若想扫描的时候再继续操作。
8、保存配置:比如完成后会弹出保存配置的弹窗,点击“是”,将此次配置命名保存到指定文件夹下
9、保存配置之后,即会自动跳转到扫描网站的界面开始扫描,一般扫描时间根据测试范围和策略有关,这里可以看到扫描进度
注意:扫描过程中,若扫描时间较长,可自动让其扫描,或者点击“暂停”-保存本次扫描,然后下次继续未扫描的过程;若直接点击右上角“×”关闭AppScan,则不会保存本次扫描的过程
10、扫描完成之后,可查看扫描的结果如下所示
11、测试完成之后,保存本次AppScan扫描测试的结果;从统计出的安全性问题,可以查看对应的漏洞链接、请求和响应、修复建议
AppScan使用注意事项
1)AppScan扫描过程中,会向服务器发送较多请求,会占用一定的正常请求访问的资源,可能导致一些垃圾数据,建议只在测试环境执行;
2)使用AppScan之前,请提前备份好数据库的数据,假若扫描致使服务器异常关闭,则需重启服务;若扫描产生的请求数据过多,或Web程序出现异常,可能需要从备份数据恢复还原。一般情况下,正常扫描Web程序很少可能出现Web服务异常的情形;
3)AppScan扫描配置时,有区分为Web Application(Web应用程序)和Web Service(Web服务)的扫描方向。若只对Web程序本身的漏洞检测,就选Web Application扫描即可;若选择Web Service扫描,则需提前告知服务器维护的负责人,建立异常情况发生的处理机制,最好避开访问请求的高峰or办公人员集中使用的时间,比如下班后自动扫描。
4184
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
