免责声明:用户因使用公众号内容而产生的任何行为和后果,由用户自行承担责任。本公众号不承担因用户误解、不当使用等导致的法律责任
目录
一:手动扫描-AppScan Chromium 浏览器
点击手动扫描添加URL
到此步直接点击取消
点击配置然后选择参数和cookie
添加你浏览器登录后的dvwa靶场的cookie(一开始登录后一定要将级别设置为low否则扫描不到)
找到cookie
添加即可
在打开扫描即可登录成功
然后就在你想要扫描的功能点进行测试,测试完点击确定
然后就可以扫描,选择仅测试
扫描完成后如下,将需要测试的功能点漏洞扫描出来了
二:外部设备扫描
首先你需要安装一个火狐的FoxyProxy Standard
如下所示,安装自行网上查找
然后点击扫描中的外部设备
在火狐插件中设置端口
将自动设置端口取消,自定义一个端口否则每次都需要配置端口
Ip为本机ip如果你设置为127.0.0.1,AppScan可能无法接受流量。端口设置为appscan中提示你的端口
然后访问dvwa,用本机ip访问。记住要将级别设置为low
点击你需要测试的功能点
然后点击停止记录在点击确认
然后点击扫描中的仅测试,后续与之前一致
扫描完成
三:安装SSL证书
当网页时https时,AppScan扫描需要证书
点击外部设备选择导出ssl证书
将导出的证书解压
打开火狐浏览器设置搜索证书
点击导入将刚刚保存的证书导入即可
四:登录验证码绕过演练
我们以如下靶场为例,可以看到只要刷新验证码就会变
在AppScan中如果遇到这种验证码是一次性的我们该如何绕过
出现如下场景就是由于验证码是一次性的导致登录回放失败
所以我们使用手动探索
首先我们现将自动选择端口关闭,手动配置一个端口以免每次打开Appscan端口不一样。
设置为51719
打开火狐插件
设置如下
然后我们登录靶场,然后打开代理
点击需要测试的功能点
可以看到流量来了
选择完成后我们点击停止然后在点击确认
点击仅测试(与之前一样),等待扫描完成后即可查看结果
扫描完成
导出报告
根据报告我们可以大致判断出网站存在的一部分问题
五:总结
AppScan作为专业Web应用安全扫描工具,其手动扫描功能支持深度漏洞检测。用户需配置扫描范围(起始URL/排除路径)、设置爬虫深度(建议3-5级),并启用高级启发式策略提升检测覆盖率。针对外部服务扫描,需通过反向代理配置实现跨网络检测,特别需注意防火墙策略与API接口鉴权参数的完整性维护。
HTTPS扫描需预先完成SSL证书部署:从目标服务器导出DER格式证书,在AppScan安全配置模块导入并绑定对应域名,通过中间人代理实现加密流量解析。验证码防护场景建议采用多维度绕过方案:1) 测试环境临时禁用验证码机制 2) 集成OCR识别模块实现自动填充 3) 通过Cookie/Session复用保持已验证状态。实战中推荐组合使用流量截取工具(如Burp Suite)与AppScan的脚本录制功能,实现验证流程自动化重放。扫描完成后应重点审计XSS、SQL注入等高危漏洞报告,并通过差异分析验证修复效果。
(需要源代码及各类资料联系博主免费领取!!还希望多多关注点赞支持,你的支持就是我的最大动力!!!)
扫一扫
847
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
