【等保工具箱】APPSCAN好用的WEB漏扫工具

1.前言

appscan10是一款专门为安全专家和测试人员设计的动态应用程序安全测试工具,这样就可以轻松的帮助用户开发更安全的软件,有效的为用户避免在开发生命周期后期出现代价高昂的漏洞。该软件内置强大的扫描引擎,可以自动爬网目标应用程序并测试漏洞,并其中的测试出来的结果会按照优先级的方式来呈现出来,这样就能够使操作员更快速的分类问题并率先完善发现最关键的漏洞,同时,appscan10还会自动为用户们提供明确且可行的修复建议,从而即可更轻松地对每个发现的问题进行补救。而且,该软件拥有全面的安全测试套件,支持测试Web应用程序、Web服务以及移动后端,并会利用基于操作的专有技术和数以万计的内置扫描来持续检查,从而通过这种持续测试和评估Web服务和应用程序的风险检查,更有助于防止破坏性的安全漏洞。

2.工具安装

2.1 获取安装包资源

APPSCAN漏扫工具-学玩技术网
APPSCAN漏扫工具-学玩技术网
joryhe的头像-学玩技术网11月前
5200
图片[1]-【等保工具箱】APPSCAN好用的WEB漏扫工具-学玩技术网

2.2 程序安装

双击AppScan_Setup_10.0.0.exe程序

图片[2]-【等保工具箱】APPSCAN好用的WEB漏扫工具-学玩技术网
appscan

一直下一步安装,直到完成

图片[3]-【等保工具箱】APPSCAN好用的WEB漏扫工具-学玩技术网
appscan

2.3程序激活

  1. 激活补丁替换

将破解补丁文件夹中rcl_rational.dll复制到软件安装目录下替换,【默认路径C:\Program Files (x86)\HCL\AppScan Standard】

图片[4]-【等保工具箱】APPSCAN好用的WEB漏扫工具-学玩技术网
appscan激活

2.然后运行软件,点击”帮助-许可证-切换到IBM许可证

图片[5]-【等保工具箱】APPSCAN好用的WEB漏扫工具-学玩技术网
appscan激活

3. 选择打开Appscan License Manager,在”许可证配置-节点锁定许可证文件“中AppScanStandard.txt作为许可证

图片[6]-【等保工具箱】APPSCAN好用的WEB漏扫工具-学玩技术网
appscan激活

4.至此,该软件成功激活,所有功能全部免费使用

图片[7]-【等保工具箱】APPSCAN好用的WEB漏扫工具-学玩技术网
appscan激活

3. 基本使用

3.1 基本原理

对一个综合性的大型网站来说,可能存在成千上万的页面。以登录界面为例,至少要输入用户名和密码,即该页面存在两个字段,当提交了用户名和密码等登录信息,网站需要检查是否正确,这就可能存在一个新的检查页面。这里的每个页面的每个参数都可能存在安全漏洞,可能成为被攻击对象。AppScan正是通过按照设定策略和规则,对Web应用进行安全攻击,以此来检查网站是否存在安全漏洞。

在使用AppScan的时候,通过配置网站的URL网址,AppScan会利用“探索”技术去发现这个网站存在多少个目录,多少个页面,页面中有哪些参数等,即探索出网站的整体结构。通过“探索”可确定测试的目标和范围,然后利用AppScan的扫描规则库,针对发现的每个页面的每个参数,进行安全检查

1)通过“探索”功能,利用HTTP Request和Response的内容,爬行出指定网站的整个Web应用结构

2)AppScan本身有一个内置的漏洞扫描的规则库,可随版本进行更新。从探索出的url中,修改参数or目录名等方式,构造不同的url对照组向服务器发送请求or攻击

3)根据HTTP Response返回的内容,和正常请求所返回的响应作对比,是否产生差异性,而这种差异性又是否符合扫描规则库的设定规则,以此来判断是否存在不同类型的安全漏洞

4)若APPScan可判断存在安全漏洞,则对这些漏洞的威胁风险给出说明,进行严重程度提示,并给出修复的建议和方法,以及漏洞发现的位置提示

3.2 基本使用

  1. 双击打开appscan,点击扫描web应用程序
图片[8]-【等保工具箱】APPSCAN好用的WEB漏扫工具-学玩技术网
appscan使用

若只对Web程序本身的漏洞检测,就选Web 应用程序扫描即可;若需要对Web服务进行扫描,则选择Web Service

2. 填写URL

在起始url中输入你要扫描web系统的url,若显示已连接到服务器,且点击在浏览器中查看后可打开应用的界面,即可进行安全测试;

备注:由于appscan默认使用appscan IE浏览器,有时存在无反应情况,故可根据测试系统适配的浏览器进行设置,在菜单栏点击工具–》选项–》首选项–》记录并查看浏览器–》appscan Chromium浏览器即可打开;

图片[9]-【等保工具箱】APPSCAN好用的WEB漏扫工具-学玩技术网
appscan使用
图片[10]-【等保工具箱】APPSCAN好用的WEB漏扫工具-学玩技术网
appscan使用

3. 设置登录管理;(以记录为示例)

1.若登录方法选择“记录”,则可通过界面右侧的“记录(R)”按钮打开APPScan内置浏览器并输入登录信息,内置浏览器会自动关闭,AppScan即可记录该用户名和密码,扫描的时候相当于是已登录此账户的状态进行扫描;【记录登录时可多操作一些菜单或者链接,若时间过短,会话可能检测失败,无法记录上登录信息】

2.若选择“提示”,则根据网站扫描探索过程中需要登录会提示输入登录信息,人工输入正确的账号信息之后继续扫描;

3.若选择“自动”,则填写用户名和密码,APPScan在扫描过程中,会自动使用用户名和密码登录继续扫描;

4.若选择“无”,则不需输入登录账户)

图片[11]-【等保工具箱】APPSCAN好用的WEB漏扫工具-学玩技术网
appscan使用
图片[12]-【等保工具箱】APPSCAN好用的WEB漏扫工具-学玩技术网
APPSCAN使用
图片[13]-【等保工具箱】APPSCAN好用的WEB漏扫工具-学玩技术网
appscan使用

4. 登录管理详细信息,显示刚刚记录的登录信息,点击验证,可对已保存的登录信息进行回放验证

图片[14]-【等保工具箱】APPSCAN好用的WEB漏扫工具-学玩技术网
appscan使用

5.测试策略我们一般默认选择缺省值

图片[15]-【等保工具箱】APPSCAN好用的WEB漏扫工具-学玩技术网
appscan使用

6.测试优化我们一般默认快速,直接点击下一步

图片[16]-【等保工具箱】APPSCAN好用的WEB漏扫工具-学玩技术网
appscan使用

7.点击完成,点击是后等待扫描结束

图片[17]-【等保工具箱】APPSCAN好用的WEB漏扫工具-学玩技术网
appscan使用

8.扫描结束后,点击报告,设置导出报告的内容、样式和布局,点击保存报告即可

图片[18]-【等保工具箱】APPSCAN好用的WEB漏扫工具-学玩技术网
appscan使用
© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发
joryhe的头像-学玩技术网

昵称

取消
昵称表情代码图片