其他分享
首页 > 其他分享> > 安全工具之Appscan

安全工具之Appscan

作者:互联网

一、AppScan概述

  AppScan是专门面向Web应用安全检测的自动化工具,是对Web应用和Web Services进行自动化安全扫描的黑盒工具。它不但可以发现和修复Web应用安全隐患的过程,还可根据发现的安全隐患给出针对性的修复建议,并生成详细、标准的报告。

二、AppScan扫描原理

1.通过自动化的“爬虫”技术发现整个 Web 应用结构 (众多页面和页面参数);

2.根据分析,发送修改的 HTTP Request 进行攻击尝试(扫描规则库);

3.通过对于 Respone 的分析验证是否存在安全漏洞;

 

三、AppScan提供四种类型的扫描

1.Web应用程序扫描:提供具有起始URL和登录凭证的AppScan,以便测试站点。若有必要,可手动搜寻站点,为AppScan提供对只能通过特定用户输入来搜寻的区域的访问权。

2.Web Service扫描:集成的Rational工具GSC会创建一个接口,用于显示可用的服务,并允许输入参数和查看结果。该过程通过AppScan来记录并用来针对服务创建测试。

3.使用外部客户机扫描:使用移动设备、浏览器或其他客户机进行浏览,并用appscan作为代理。

4.增量扫描:使用增量扫描仅测试应用程序的新内容。

四、AppScan扫描包含两个阶段:探索和测试

1.探索阶段:AppScan将探索站点(Web Service、应用程序),方法是:模拟Web用户 单击链接并填写表单字段。它将分析响应,以查找潜在漏洞的指示,并使用这些响应来  创建测试请求。探索行为具有高度的可配置性,可使用 “扫描专家”进行优化。

2.测试阶段:AppScan将发送在探索过程中所创建的数以千计的定制测试请求。它将记录  和分析应用程序的响应,用以标识安全性问题并对这些问题的安全性风险级别进行评级。

完成探索和测试的第一阶段后,AppScan会自动开始新的阶段,以处理测试阶段中发现的任何新的信息。完成了已配置数量的扫描阶段后,扫描将结束。

五、AppScan安装

        

           

         

        

           

 

 

 

六、扫描流程

1.新建扫描任务--选择扫描类型

        

 

2.新建扫描任务—输入起始URL

 3.新建扫描任务--选择登录方法

          

   

   

  

 

 

 4.新建扫描任务--选择测试策略

  

 

 

 5.新建扫描任务--选择测试优化

       

 

 

 6.新建扫描任务--设置启动模式

  

7.其他扫描配置—排除路径和文件

  

8.其他扫描配置—通信和代理

  

 

 

 9.其他扫描配置—测试策略

  

 

 

 

七、手动探索

       

 

八、扫描测试

 

 

        

 

 

 

 九、扫描进行中

      

 

 

 

 十、分析结果

   

   

  

  

 

 

十一、创建报告

  

 

标签:Web,登录,扫描,选择,安全,测试,AppScan,Appscan,工具
来源: https://www.cnblogs.com/micifang/p/16420029.html