如何利用AppScan扫描H5页面,进行安全测试?

于 2023-11-02 16:23:50 发布
阅读量913 收藏 4
点赞数
分类专栏: 安全测试 文章标签: 功能测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44867191/article/details/134185537
版权

前期项目组接触的都是Web安全测试,今天做安全测试的时候,有一个项目刚好有H5页面,用以前那种AppScan内置浏览器的探索方式是不行的,研究了下,可以使用外部设备进行探索。

AppScan有两种手动探索方式,一种是AppScan的内置浏览器探索,另外一种就是外部设备探索,以前的Web类型安全测试就是运用的内置浏览器探索,今天的H5页面运用的就是外部设备探索。

与Web安全测试相比,H5的安全测试唯一不同的点就是在探索方式上,今天我们就分享下外部设备的探索方式。

1、安装FoxyProxy代理管理工具,打开火狐浏览器,在地址栏输入:about:addons,搜索:FoxyProxy组件

2、选择FoxyProxy Standard

3、下载并安装FoxyProxy Standard

4、打开拓展

5、添加端口信息

点击添加,输入标题,例如:AppScan,填好IP地址:127.0.0.1,端口:是AppScan的端口,填完保存即可

查找AppScan的端口?

点击手动探索--外部设备--就可在左上角看到一个端口,注意,这个端口号是变化的

6、启用这个代理

7、在火狐浏览器上可以抓取H5接口信息了

在火狐浏览器,打开被测的H5页面,就可以在AppScan页面看到抓取的接口信息了。

这样,就可以探索到H5页面的接口了。

程序员馨馨
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
AppScan安全测试总结.docx
06-30
AppScan是IBM公司出的一款Web应用安全测试工具,采用黑盒测试的方式,可以扫描常见的web应用安全漏洞。 其工作原理,首先是根据起始页爬取站下所有可见的页面,同时测试常见的管理后台;获得所有页面之后利用SQL注入...
测试小白踩坑记--安全测试
软件测试大叔
06-07 275
接触安全测试的亲身经历,纪念一下踩坑的过程。 01 — 第一次亲密接触 第一次接触安全测试是在公司A。这是一个web项目,由于要放置在公网上,所以需要安全测试。 此前我所接触的web项目都是在内网的,没怎么关注过安全方面。这次说要安全测试,我也是一脸懵逼的。 有牛人提出,先用AppScan扫描就行了。可是我还是第一次听说这个AppScan。没办法,硬着头皮上吧。急急忙忙的百度,想尽量多的了解相关的信息。 我开始安装AppScan,然后对web项目进行扫描。 现在大家可能觉得挺...
AppScan使用教程
lemon_linaa的博客
12-12 5258
Rational AppScan 可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)、缓冲区溢出(buffer overflow)及最新的 Flash/Flex 应用及 Web 2.0 应用曝露等方面安全漏洞的扫描。②仅应用程序:包含所有应用程序级别的测试,但不包含侵入式和端口侦听器。③仅基础结构:包含所有基础结构级别的测试,但不包含侵入式和端口侦听器。
web安全测试---AppScan扫描工具详解和测试方法说明
HRD的博客
08-27 6456
安全测试应该是测试中非常重要的一部分,但他常常最容易被忽视掉。尽管国内经常出现各种安全事件,但没有真正的引起人们的注意。不管是开发还是测试都不太关注产品的安全。当然,这也不能怪我们苦B的“民工兄弟”。因为公司的所给我们的时间与精力只要求我们对产品的功能的实现以及保证功能的正常运行。一方面出于侥幸心理。谁没事会攻击我?关于安全测试方面的资料也很少,很多人所知道的就是一本书,一个工具。...
WEB扫描类产品测试--AppScan-WVS-WebRavor(4)
KerryRuan的专栏
01-11 3025
3.2.1  AppScan弱点统计与分析 测试站点 xAppScan 高 中 低 testphp.acunetix.com 注入3个,数据库错误模式4个,跨站4个,合计11个;11/14=78.5% 目录列表2个,框架钓鱼6个,合
Appscan使用教程——安全测试
Ason_haiyu的博客
06-26 6617
1.appscan的启动与基本配置 说明:这里也可以先点击左下角的“完全扫描配置”选项进行扫描配置(后面再具体讲扫描配置)。 在“起始URL”下面输入需要启动扫描的URL,如果勾选了“仅扫描此目录中或目录下的链接”(如下图),则会只扫描起始URL目录或者子目录中的链接。 举例:如果我们的网站www.sina.com.cn下面有两个目录test1和test2,当起始U...
安全测试AppScan手册
04-08
安全测试AppScan手册安全测试AppScan手册安全测试AppScan手册安全测试AppScan手册安全测试AppScan手册安全测试AppScan手册安全测试AppScan手册安全测试AppScan手册安全测试AppScan手册安全测试AppScan手册安全测试...
安全测试漏扫工具-HCL AppScan10.0.8,安全规则库28196
10-15
优秀的安全测试漏扫工具AppScan10.0.8,安全规则库28196,已经是最新的安全规则库了。支持:WEB应用程序、WEB api 、增量、完全配置等多种扫描方式。扫描工具里比较强大的,可以自动生成扫描报告。方便快捷。
AppScan安全测试漏洞检测工具10.4版本
最新发布
12-25
AppScan具有强大的静态、动态、交互式和开源扫描引擎可以部署在开发生命周期的每个阶段,提供完善的漏洞规则库、漏洞扫描引擎、安全性能扫描、云系统集成、Web应用技术和多种代码语言灯
AppScan扫描网站策略
11-01
AppScan是IBM的web安全扫描工具,利用爬虫技术对网站进行安全渗透测试,本文档详细记录了怎么用AppScan对网站进行安全测试
appscan8.6漏洞使用代理软件
11-26
appscan8.6漏洞使用代理软件,视频网上可以搜索,按照视频配置即可使用
AppScan使用分享
weixin_34114823的博客
10-09 466
这里主要分享如何使用AppScan对一大项目的部分功能进行安全扫描。 ------------------------------------------------------------------------   其实,对于安全方面的测试知道的甚少。因为那公司每个月要求对产品进行安全扫描。掌握了一人点使用技巧,所以拿来与大家分享。   因为产品比较大,功能模块也...
软件测试(三)——使用APPscan测试手机APP应用
moniseter的博客
08-13 3022
APPscan测试手机应用和web端使用方法都差不多,只是要把需要测试的客户端和主机服务器连接在同一个局域网内,并用上代理。 1、打开APPscan,选择“使用外部客户机扫描” 2、查看自己的代理IP和代理端口。如果用的是自己的电脑,则可以在cmd中ipconfig查看iPV4,便是自己主机的IP地址,端口由APPscan显示出来; 3、在手机或者其他客户端上,连接在同一个局域网,并使用代理,填上相同的IP和端口; 4、录制想要测试APP的登录接口; 5、点击下一步,选“全选
AppScan被动手动探索扫描
sunshine_cxy的博客
06-08 923
浏览器代理到AppScan,然后进行手工操作,探索产生出的流量给AppScan进行扫描
漏扫工具Appscan使用(非常详细)从零基础入门到精通,看完这一篇就够了。
Karka_的博客
11-01 278
名称填写为cookie,内容为复制的cookie字段**(只复制引号里面的内容)**扫描开始有些目录会存在XX,
AppScan-被动手动扫描
weixin_49349476的博客
04-30 835
被动扫描是针对性的扫描,浏览器代理到AppScan,然后进行手工操作,探索产生出的流量给AppScan进行扫描。这样可以使得扫描足够精准,覆盖率更加高,还能减少不必要的干扰。
uniapp H5 扫码 扫一扫 功能
热门推荐
词不达意难知的博客
05-25 1万+
前言 没想到用H5来实现扫码,也是第一次接触,由于项目是打包成H5 ,所以无法调用uniapp scanCode扫码API,在查阅其他前辈博客之后发现H5不是很好实现,最后决定以文件上传的形式来实现。 (效果为 拍照识别,相册照片识别 ) 期间使用过npm包的形式使用,也就是qrcode-decoder, 识别率实在是太低,最后还是采用引入qrcode的形式。 1. 引入qrcode.js (直接本地新建空js,然后点下方链接复制代码到该空js文件) github下载地址:https://gitee.c
Web安全扫描工具:Appscan安装和使用,无偿分享安装包与教程
顶峰
09-25 1041
AppScan安装与使用
主动扫描和被动扫描的区别
baidu_38844729的博客
10-14 8832
web漏洞扫描器 web漏扫的工作大致可以分为三个阶段:页面爬取——探测点发现——漏洞检测 主要有主动扫描器和被动扫描器两种 主动扫描: 输入某个URL,然后由扫描器中的爬虫模块爬取所有链接,对GET、POST等请求进行参数变形和污染,进行重放测试,然后依据返回信息中的状态码、数据大小、数据内容关键字等去判断该请求是否含有相应的漏洞 被动扫描: 在进行手动测试的过程中,代理将流量转发给漏洞扫描器,然后再进行漏洞检测 区别: 被动扫描进行大规模的爬虫爬取行为,不主动爬取站点链接,而是通过流量、代理等方式去采
AppScan安全测试实验
05-30
进行 AppScan 安全测试实验的一般步骤如下: 1. 确定测试目标:明确测试的目标和范围,包括测试的应用程序、测试的范围、测试的目的等。 2. 配置测试环境:安装和配置 AppScan,配置测试环境,包括测试服务器、测试代理等。 3. 执行测试:使用 AppScan 对目标应用程序进行测试,包括对应用程序进行自动化扫描、手动漏洞挖掘、漏洞验证等。 4. 分析测试结果:对测试结果进行分析,包括发现的漏洞和安全风险,以及其可能的影响和严重性等。 5. 提出建议:基于分析结果,提出相应的建议,包括修复漏洞和加强安全措施等。 6. 撰写测试报告:将测试结果、分析和建议撰写成报告,报告应该清晰、详细、可读性强。 值得注意的是,安全测试需要定期进行,而不是一次性的。这是因为应用程序的代码和配置可能会不断变化,从而导致安全风险的变化。因此,需要定期对应用程序进行安全测试,以确保其安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值