简介
IBM出品,可以扫描常见web应用安全漏洞。APPScan支持黑盒测试和白盒测试(代码审计)。
原理
首先根据起始页面爬取站下所有可见页面,同时测试常见管理后台。获得页面之后使用SQL注入原理进行测试是否存在注入点一级跨站脚本攻击可能,同时对cookie、session、会话周期等web安全漏洞进行检测。AppScan功能强大。支持登录功能、报表、详细漏洞原理、修改建议、手动验证等功能。但是APPScan价格十分昂贵。
工作方式
1,静态分析(static)即源代码分析
2,动态分析(Dynamic)
3,混合分析(Hybrid)
4,run-time运行时分析(玻璃盒)
5,Client-Side客户端分析(Javascript)
扫描流程
扫描配置:范围限制、登录序列、表单过滤、客户化参数、扫描专家、玻璃盒子代理
探索(爬网):应用台所、技术结构对应、手动探索、多步骤操作
测试:预探测技术、自动测试、手动测试、问题确认
结果:结果展示、互动报告、修复建议、可打印报告、发布到问题追踪系统