AppScan扫描器的用法
目录
AppScan
AppScan是一款非常好用且功能强大的Web 应用安全测试工具,曾以 Watchfire AppScan 的名称享誉业界,AppScan 可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection)、跨站脚本攻击(cross-site scripting)、缓冲区溢出(buffer overflow)和最新的 Flash/Flex 应用以及 Web 2.0 应用曝露等方面安全漏洞的扫描
Appscan工作原理小结如下:
- 通过爬行发现整个web应用结构
- 根据分析,发送修改的HTTP Request进行攻击尝试(扫描规则库)
- 通过对Response 的分析验证是否存在安全漏洞
软件功能
AppScan 采用三种彼此互补和增强的不同测试方法:
- 动态分析(“黑盒扫描”):这是主要方法,用于测试和评估运行时的应用程序响应。
- 静态分析(“白盒扫描”):这是用于在完整 Web 页面上下文中分析 JavaScript 代码的独特技术。
- 交互分析(“glass box 扫描”):动态测试引擎可与驻留在 Web 服务器本身上的专用 glass-box 代理程序交互,从而使 AppScan 能够比仅通过传统动态测试时识别更多问题并具有更高准确性。
AppScan 的高级功能包括:常规和法规一致性报告,并提供超过 40 个不同的开箱即用模板通过 AppScan eXtension Framework 或通过使用 AppScan SDK 直接集成到现有系统内来实现的定制和可扩展性
链接分类功能:超越应用程序安全性以确认由指向恶意或其他不需要的站点的链接向用户带来的风险
AppScan S可帮助您在站点部署之前为生产阶段的进行中风险评估来降低 Web 应用程序攻击和数据违规的风险。
软件特色
“AppScan全面扫描”包含两个阶段:探索和测试。 尽管扫描过程的绝大部分对于用户来说实际上是无缝的,并且直到扫描完成几乎不需要用户输入,但理解其后的原则仍然很有帮助。
探索阶段
在第一个阶段中,AppScan 通过模拟 Web 用户单击链接和填写表单字段来探索站点(Web 应用程序或 Web 服务)。这就是“探索”阶段
AppScan 将分析它所发送的每个请求的响应,查找潜在漏洞的任何指示信息。 AppScan 接收到可能指示有安全漏洞的响应时,它将自动基于响应创建测试,并通知所需验证规则,同时考虑在确定哪些结果构成漏洞以及所涉及到安全风险的级别时所需的验证规则。
在发送所创建的特定于站点的测试之前,AppScan 将向应用程序发送若干格式不正确的请求,以确定其生成错误响应的方式。 之后,此信息将用于增加 AppScan 的自动测试验证过程的精确性。
测试阶段
在第二个阶段,AppScan 将发送它在探索阶段创建的数千个定制测试请求。 它使用定制验证规则记录和分析应用程序对每个测试的响应。 这些规则既可识别应用程序内的安全问题,又可排列其安全风险级别。
无 Web 服务的站点
如果是没有 Web 服务的站点,那么为 AppScan 提供起始 URL 和登录认证凭证可足以使其能够测试站点。
如有必要,还可以通过 AppScan 手动搜寻站点,以便能够访问仅通过特定用户输入才能到达的区域。
Web 服务
为了能够有效扫描 Web Service,AppScan 安装包含一项工具,用户通过它可查看 Web 服务中整合的各种方法,处理输入数据以及检查来自服务的反馈。
您首先需要为 AppScan 提供服务的 URL。 集成的“通用服务客户机 (GSC)”使用服务的 WSDL 文件以树格式显示可用的单独方法,并且会创建用于向服务发送请求的用户友好 GUI。您可以使用此界面输入参数和查看结果。此过程由 AppScan 进行“记录”,并且用于在 AppScan 扫描站点时创建针对服务的测试。
建立一次基础的扫描
点击左上角的文件--.>新建-->常规扫描,然后进入了下面的页面,选择下一步即可
这里的话,就填写你要扫描网站的域名,如果你想通过代理进行扫描,可以勾选下面的其他连接设置。然后下一步
如果你要扫描的网站需要经过登录的网站的话,这里勾选记录,然后你模拟登录一次网站,那么APPscan就能记录你的登录信息了。如果不需要登录的话,勾选无然后下一步
这里缺省值的话直接下一步就可以了
这里直接点击完成就可以开始一次扫描了
当扫描完成后,这里查看扫描结果,AppScan扫描误报率有点高啊
AppScan扫描器的用法的更多相关文章
- AWVS扫描器的用法
目录 AWVS AWVS功能介绍 AWVS如何工作 审核漏洞 AWVS11页面介绍 AWVS11中建立扫描 AWVS10.5中的介绍 AWVS11版本启动失败 利用Burpsuite修改AWVS的数据 ...
- 201521123072《Java程序》第二周总结
201521123072<Java程序>第二周总结 标签(空格分隔): Java学习 [TOC] 1,本周小结 1,字符串的使用, (字符串变量作为对象来处理),所以字符串相等就要用到eq ...
- 201521123024 《Java程序设计》第2周学习总结
1. 本周学习总结 1.Scanner扫描器的用法 2.各种数据类型的使用 3.运算符和表达式的使用 4.枚举类.String类的应用 5.了解用package和import管理类别 2.书面作业 1 ...
- nmap 高级扫描用法
nmap提供了四项基本功能(主机发现.端口扫描.服务与版本侦测.OS侦测)及丰富的脚本库.Nmap既能应用于简单的网络信息扫描,也能用在高级.复杂.特定的环境中:例如扫描互联网上大量的主机:绕开防火墙 ...
- Nmap在实战中的高级用法
Nmap提供了四项基本功能(主机发现.端口扫描.服务与版本侦测.OS侦测)及丰富的脚本库.Nmap既能应用于简单的网络信息扫描,也能用在高级.复杂.特定的环境中:例如扫描互联网上大量的主机:绕开防火墙 ...
- Nmap在实战中的高级用法(详解)
@ 目录 Nmap在实战中的高级用法(详解) Nmap简单的扫描方式: 一.Nmap高级选项 1.查看本地路由与接口 2.指定网口与IP地址 3.定制探测包 二.Nmap扫描防火墙 1.SYN扫描 2 ...
- Java集合中Set的常见问题及用法
在这里演示的案例是衔接Java集合中的List(点击查看)那篇博文的,本节我们学习的Set的用法. Set是Collection的一个重要的子接口,Set中的元素是无序排列的,并且元素不可以重复,被称 ...
- 使用appscan实现多站扫描简单自动化
因为appscan在新建扫描任务的时候只能输入一个target,并且没有awvs/nessus那样提供web接口,导致我以前一直以为appscan不能像awvs那样批量建立任务自动扫描. 不过,今天要 ...
- NSCharacterSet 简单用法
NSCharacterSet 简单用法 NSCharacterSet其实是许多字符或者数字或者符号的组合,在网络处理的时候会用到 NSMutableCharacterSet *base = [NSMu ...
随机推荐
- PAT-1153(Decode Registration Card of PAT)+unordered_map的使用+vector的使用+sort条件排序的使用
Decode Registration Card of PAT PAT-1153 这里需要注意题目的规模,并不需要一开始就存储好所有的满足题意的信息 这里必须使用unordered_map否则会超时 ...
- CMDB项目要点之技术点(面试题)
1.单例模式 日志对象用单例模式 django admin中注册类是,用到单例模式 为什么要用单例模式 同一个对象操作 维护全局变量 + 对全局变量做一些操作 # __new__ import thr ...
- 如何优雅的移植JavaScript组件到Blazor
Blazor作为一个新兴的交互式 Web UI 的框架,有其自身的优缺点,如果现有的 JavaScript 组件能移植到 Blazor,无疑让 Blazor 如虎添翼,本文就介绍一下自己在开发 Bul ...
- python-类的隐藏和封装
7 """ 8 封装是面对对象的三大特征之一(另外两个是集成和多态),它指的是将对象> 的信息隐藏在对象的内部,不允许外部程序直接访问对象内部信息,而是通> ...
- 数字转人民币读法-python3
""" 2 把一个浮点数分解成证书备份和小数部分 3 """ 4 def divide(num): 5 intnum = int(num) ...
- io流(File类)
File类 创建一个file类(没有无参构造)的对象,并与文件进行关联 用File类来操作文件,代码如下: package com.bjsxt.test01; import java.io.File; ...
- 20184307 实验三 Socket编程技术
实验三 Socket编程技术 学号 20184307 2019-2020-2 <Python程序设计>实验三报告 课程:<Python程序设计> 班级:1843 姓名:章森洋 ...
- 在M1芯片的Mac系统上做.net core开发靠谱吗?
作为一个7年老.NET程序员,最近几年苹果慢慢接替微软,成为我心中最酷的科技公司. 为什么我会选择Mac os作为我的开发环境? 很多做.net的同学都使用Windows系统作为自己的开发环境,我其实 ...
- java面试一日一题:mysql事务是如何实现的
问题:请讲下mysql的事务是如何实现的 分析:该问题主要考察对事务的理解及实现方式: 回答要点: 主要从以下几点去考虑, 1.对事务的概念的理解? 2.事务的实现方式? 讲到mysql的事务,很快可 ...
- Visual Studio 2015 无法加载.Net FrameWork4.6.2
默认的VS2015是没有.Net Framework4.6.2的 需要我们去到微软官网下载对应的.NET Framework 4.6.2的安装包 安装包分两种,一种是应用级别的还一种是开发级别的,如果 ...