IBM Security App Scan Standard 工具的使用
1、AppScan是什么?
AppScan是IBM的一款web安全扫描工具,可以利用爬虫技术进行网站安全渗透测试,根据网站入口自动对网页链接进行安全扫描,扫描之后会提供扫描报告和修复建议等。
AppScan有自己的用例库,版本越新用例库越全(用例库越全面,对漏洞的检测较全面,被测试系统的安全性则越高)
工作原理:
1)通过探索了解整个web页面结果
2)通过分析,使用扫描规则库对修改的HTTP Request进行攻击尝试
3)分析 Response 来验证是否存在安全漏洞
2、使用AppScan的步骤
1)打开AppScan扫描工具
2)点击【创建新的扫描】,选择【常规扫描】,会显示【扫描配置向导】弹框
3)点击【完全扫描配置】到扫描配置页面,AppScan支持web service项目的安全检测,但是需要先按照GSC
4)扫描配置-URL和服务器:起始URL输入我们要扫描网站的地址,如果网站还包含其他域名,则在其他服务器和域进行添加
5)扫描配置-登录管理:扫描的网站不需要登录则登录方法选择无即可;
若需要登录,则点击【记录】,默认使用appscan浏览器打开网站,输入账号密码登录成功后,登录序列就会被记录。
登录且记录成功后,点击 标签 ”详细信息“ 可以查看到对于的操作和请求
6)扫描配置-环境定义:如果知道系统使用的环境可以自己定义,不知道则使用默认。
7)扫描配置-排除路径和文件:对一些不需要的网址、图片、文件或者会影响扫描的网址做一个过滤操作。(可能会提高扫描速度和效率)
8)扫描配置-探索选项(冗余路径和深度路径可以进行适当的设置,其他选项可选择进行设置或者全部使用默认)
9)扫描配置-参数和cookie、自动表单填充、错误页面、多操作步骤、基于内容的结果:可使用默认配置(如有需要可进行配置)
10)扫描配置-Glass box:对系统安全性要求比较高可以进行配置(配置后扫描更准确,可能扫描出来的安全性问题较多)
11)扫描配置-通信和代理:可以配置线程数
12)扫描配置-测试策略和测试选项:可根据具体需要进行配置,不清楚直接选择缺省值即可。
13)扫描配置-其他选项:可根据需要进行配置,或者直接默认即可。以上选项设置完成后可保存为模板,下次可直接使用。
14)配置完成后,返回到配置向导主页,一直点击【下一步】到完成配置向导,即可进入扫描。
4、appscan扫描分三类:完全扫描、仅探索、仅测试。
1)完全扫描:探索+测试一起(适用于需要扫描的页面和元素较少的情况)
2)先探索、后测试:扫描的页面和元素较多的情况
3)探索:扫描出整个系统的基本结构和页面
4)测试:根据配置的信息,比如测试策略等对页面中的元素进行测试
5、通过【手动探索】获取需要扫描的指定页面
1)在打开的页面中点击需要测试的页面,完成后,点击【暂停记录】按钮后关闭页面,会弹出手动探索序列对话框(包含手动点击页面的URL链接)
6、扫描结果分析:报告和扫描日志
7、查看扫描结果
8、使用Appscan扫描建议:如果扫描的系统元素较多,需要合理配置扫描信息,否则可能导致扫描的时间过长,扫描效率过低。
————————————————
版权声明:本文为CSDN博主「学习那点事儿」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/u010013191/article/details/80733170
IBM Security App Scan Standard 工具的使用的更多相关文章
- AppScan--图解Web扫描工具IBM Security App Scan Standard
App Scan用法: 首先打开IBM Security AppScan Standard 工具 点击 创建新的扫描 -> 点击”常规扫描“ ->之后你就会看到如下图: ...
- IBM Security App Scan 资料整理
转自:http://blog.csdn.net/u013147600/article/details/50002089 这是学习和使用IBM AppScan过程中总结整理的一些资料. 扫描系统操作 ...
- IBM Security AppScan Standard WEB扫描工具
IBM Security AppScan Standard是一款著名的web漏洞扫描工具, 可以设定登录账户,录制登录 扫描完成后可以生成报告,生成的报告非常详细
- 一个适合.NET Core的代码安全分析工具 - Security Code Scan
本文主要翻译自Security Code Scan的官方Github文档,结合自己的初步使用简单介绍一下这款工具,大家可以结合自己团队的情况参考使用.此外,对.NET Core开发团队来说,可以参考张 ...
- NET Core的代码安全分析工具 - Security Code Scan
NET Core的代码安全分析工具 - Security Code Scan https://www.cnblogs.com/edisonchou/p/edc_security_code_scan_s ...
- IBM Security AppScan Glass Box:一种全新的漏洞扫描思想
IBM Security AppScan Glass Box:一种全新的漏洞扫描思想 Glass Box 是 IBM Security AppScan Standard Edition(以下简称 Ap ...
- 10款无需编程的App DIY开发工具
10款无需编程的App DIY开发工具 你有一个很棒的创意但不会编程怎么办?外包.合伙开发还是从零学编程?这里提供另外一种方式--使用无需编程的App DIY开发工具.DIY开发工具不仅节省了开发时 ...
- wemall doraemon中Android app商城系统工具集合类,包含各种程序中用到的静态方法
wemall doraemon中Android app商城系统工具集合类,包含各种程序中用到的静态方法,可用于其他商城或者系统的编程参考 package cn.zzu.edu.wemall.utils ...
- Delphi 开发手机 App 与其他工具之间的比较分析
写在前头 关于各种手机App开发的工具,从2010年前后到现在已经在很多不同的场合介绍过,在元智大学.中台科技大学.德霖科技大学等不同学校的讲座.课程当中,都有类似的主题,所以对我来说,这个主题属于驾 ...
随机推荐
- Java GC日志
JVM 命令:-Xms5m -Xmx20m -XX:+PrintGCDetails -XX:+PrintCommandLineFlags -XX:+UseSerialGC [GC (Allocatio ...
- 53. Maximum Subarray (JAVA)
iven an integer array nums, find the contiguous subarray (containing at least one number) which has ...
- 31. Next Permutation (JAVA)
Implement next permutation, which rearranges numbers into the lexicographically next greater permuta ...
- Nginx 配置状态信息虚拟主机
可以在浏览器中查看并发数量 [root@Liangenyu conf]# vim nginx.conf server { listen 80; server_name status.etiantian ...
- Ubuntu18 给terminal改个漂亮的命令行提示符
重新安装了VMware和Ubuntu,但是命令行提示符太单调,不美观,如何更改呢.于是在网上巴拉巴拉搜寻一番. 1.更改PS1环境变量,这俩都可以,我选择第一个: export PS1="\ ...
- linux c++下遍历文件
https://blog.csdn.net/u013617144/article/details/44807333
- java调用shell脚本小demo
复制指定文件cpp.sh: [root@localhost soft]# vim cpp.sh#!/bin/bash name="$1"\cp /home/soft/test/${ ...
- 多个excel文件内容合并到一个excel文件的多个sheet的小程序
# -*- coding:utf-8 -*- import xlrd, xlsxwriter # 待合并excelallxls = ["D:\\excelcs\\***.xlsx" ...
- 去掉html中的标签
//去掉html中的图片 String regEx_image = "(<img.*src\\s*=\\s*(.*?)[^>]*?>)"; Pattern p_s ...
- import Vue form 'vue' 解释