本文详述了IBM Security AppScan Standard的配置和使用方法,包括自定义扫描策略、探索和测试阶段,以及如何处理登录管理。通过设置扫描URL、服务器、测试策略等,实现Web应用程序的自动化脆弱性评估。此外,还介绍了全局扫描配置的重要性和各项参数的调整,以提升扫描效率和准确性。
一、常规配置Appscan (安全自动化测试工具)
1. Appscan是web应用程序渗透测试舞台上使用最广泛的工具之一.它是一个桌面应用程序,它有助于专业安全人员进行Web应用程序自动化脆弱性评估。本文侧重于配置和使用Appcan。
2.可定制的扫描策略:Appscan配备一套自定义的扫描策略,你可以定制适合你需要的扫描策略。
3.报告:根据你的要求,可以生成所需格式的报告。
4.Appscan分为三部分:探索、连接和测试。
探索和测试阶段:
在我们开始扫描之前,让我们对Appscan的工作做一个了解.任何自动化扫描器都有两个目标:找出所有可用的链接和攻击寻找应用程序漏洞。
探索(Explore):
在探索阶段,Appscan试图遍历网站中所有可用的链接,并建立一个层次结构。它发出请求,并根据响应来判断哪里是一个漏洞的影响范围。例如,看到一个登陆页面,它会确定通过绕过注入来通过验证.在探索阶段不执行任何的攻击,只是确定测试方向.这个阶段通过发送的多个请求确定网站的结构和即将测试的漏洞范围。
测试(Test):
在测试阶段,Appscan通过攻击来测试应用中的漏洞.通过释放出的实际攻击的有效载荷,来确定在探索阶段建立的安全漏洞的情况.并根据风险的严重程度排名。
在测试阶段可能回发现网站的新链接,因此Appscan在探索和测试阶段完成之后会开始另一轮的扫描,并继续重复以上的过程,直到没有新的链接可以测试。扫描的次数也可以在用户的设置中配置.
========================================================================================================================================================
开始扫描,启动Appscan,你会看到图一中所示的欢迎屏幕.
图一
点击"Create New Scan" 开始扫描一个新的Web应用程序
图二
选择一个适合你要求的扫描模板。模板包括已经定义好的扫描配置.选择一个模板后会出现配置向导。点击“常规扫描”。
最低0.47元/天 解锁文章
扫一扫
1976
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
