利用Appscan对REST Web service进行安全扫描

最新推荐文章于 2023-12-05 14:13:07 发布
最新推荐文章于 2023-12-05 14:13:07 发布
阅读量6k 收藏 8
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 安全测试 文章标签: APPSCAN REST Web service 安全 API
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/trulyfeixue/article/details/86612854
本文详细阐述了如何利用 Rational AppScan 对 REST Web 服务进行安全扫描,包括对调用服务应用程序的手动探索和使用代理进行安全扫描。通过与POSTMAN或SOUPUI的配合,可以有效地检测RESTful API的安全漏洞,确保接口服务的安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

        近年来 Web 服务应用日趋广泛,人们往往利用 Web 服务集成不同平台的应用程序,或是将公共服务通过服务接口暴露给外部用户使用。这样便为黑客利用 Web 服务攻击企业应用提供了可乘之机。本文主要介绍如何利用 Rational AppScan 检测 Web 服务的安全漏洞。

目前使用的Web service主要为基于SOAP协议和基于REST架构,而基于REST架构越来越受到欢迎。众所周知,Rational AppScanGSCSOAP类型的web服务安全扫描提供了很好的解决方案,这里不再介绍。

对于REST类型的web服务,通过解读IBM的官方文档,可以知道主要有两种方法:

  1. 对调用服务的应用程序进行手工探索调用该服务,从而进行安全扫描;
  2. 利用代理使用“外部流量/客户机”进行安全扫描。

对于第1点只需要按正常的应用程序扫描对调用服务的应用进行扫描即可,但是需要确认调用服务的功能,以便进行手动探索。这里调用服务的应用既可以是页面的应用也可以是移动电话等设备的app。见图1,图2

                                          &nb

最低0.47元/天 解锁文章

200万优质内容无限畅学
25、云计算技术全解析:从架构到安全的深度洞察
z5a6b的博客
07-15 39
本博客全面解析了云计算技术,从基础概念、架构设计到安全防护、性能优化等多个方面进行了深入探讨。内容涵盖IaaS、PaaS、SaaS三种服务模式,公有云、私有云和混合云的部署模型,以及在实际业务场景中的应用案例。同时,介绍了云计算应用开发的环境选择、数据持久化与消息传递机制、自动化部署工具的使用。此外,还重点讨论了云计算的安全架构、漏洞防范、相关标准及合规性要求,并对云存储类型、网络技术、虚拟化技术和物联网数据业务场景进行了详细分析。最后,展望了云计算未来的发展趋势,包括智能化、边缘计算和绿色云计算等方向。
AppScan-web应用扫描
weixin_49349476的博客
04-30 517
在登录管理中,选择无,如果进入靶场需要账号和密码登录,则需要点击记录,我这里实验的靶场不需要登录,所以选择无。测试优化就是测试速度。不同的测试速度,在测试时间和准确性上的效果不同,如果不知道测试策略的内容,就可以先点击,在点击完全扫描配置。如果是第一次启动,可能会有个连接设置,选择不使用代理即可。输入扫描的地址URL,在输入之后,会自动检测是否能连接。如果选择是,就是保存扫描,之后就可以直接打开使用。1点击软件,进入AppScan,选择新建。选择扫描配置向导后,选择启动的方式。还勾选,增加扫描的功能。
由一次安全扫描引发的思考:如何保障 API 接口安全性?
极客挖掘机
05-27 833
引言 前段时间,公司对运行的系统进行了一次安全扫描,使用的工具是 IBM 公司提供的 AppScan 。 这个正所谓不扫不要紧,一扫吓一跳,结果就扫出来这么个问题。 我们的一个年老失修的内部系统,在登录的时候,被扫描出来安全隐患,具体学名是啥记不清了,大致就是我们在发送登录请求的时候,有个字段名是 password , AppScan 认为这个是不安全的,大概就是下面: 我第一个反应是把这个字段名字改一下,毕竟能简单解决就简单解决嘛,结果当然是啪啪啪打脸。 这个名字我不管是换成 aaa 还是 bbb ,.
AppScan 扫描web应用程序
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
01-16 1381
AppScan Web应用扫描
AppScan实战——web扫描
m0_61506558的博客
08-16 881
AppScan的简单操作
web安全扫描---使用AppScan进行扫描
ff137_的博客
07-11 1685
这几天任务比较少,闲来无事,学习一下AppScan安全扫描的简单使用,顺便记录一下 需要注意的是,在执行安全测试时,会产生很多的垃圾数据,千万不要使用生产(正式)环境来做安全扫描!!! 一、扫描前配置 打开AppScan-创建新的扫描-常规扫描,进入扫描配置阶段 选择扫描类型,下一步 输入扫描系统的URL,下一步 使用默认的登录方法(也可以选择自动,...
IBM Security AppScan Standard 入门指南
AppScan不仅支持传统的HTTP/HTTPS协议,还能够处理基于SOAP或RESTWeb服务,确保对现代分布式应用的安全评估。 8. **主窗口和工作流程** 主窗口是用户与AppScan交互的主要界面,包含多个区域,如扫描配置、结果...
kaliWEB渗透笔记
fhl5203的博客
11-01 5415
抓包协议分析 一般每300M分成一个包,这样抓包分析工具打开速度不会太慢。 首先剔除对分析没有用处的协议,剔除IP地址是224以上的组播地址。 WEB攻击面 Network、OS、WEB Server、App server、Web Application、Database、Browser 重要的header • Set-Cookie:服务器发给客户端的SessionlD (被窃取的风险) • Co...
rational rosa_使用Rational AppScanWeb应用程序进行自动漏洞扫描
cuyi7076的博客
06-22 576
随着全球连接的增加,安全风险也在增加 根据IBM®X-Force®2011年中期趋势和风险报告,由于在2011年上半年报告了数量众多的重大安全漏洞,因此2011年可被视为“安全漏洞年”。全球范围和规模的更加互连,智能和有仪器的网络世界导致风险和危险增加,对企业和基础架构的网络安全攻击也变得更加复杂且难以管理。 该报告显示,2011年上半年,所有漏洞中的37%来自Web应用程序漏洞。无法...
API接口安全测试方法大全(附一键化扫描工具)
2302_76672693的博客
06-27 8324
API接口安全测试方法大全(附一键化扫描工具)
wsdigger(service接口扫描工具)
09-21
wsdigger,一款非常好用的service接口安全扫描工具,已确认可以正常使用。不用注册,就可以使用。操作也非常简单。
十大web安全扫描工具
12-14
十大web安全扫描工具十大web安全扫描工具
AppScan入门(二) — Web漏洞扫描工具AppScan的使用
前进者
05-30 3038
如果有登录页,可以结合自己的项目进行选择,我选择的“记录(推荐)”,和chrome浏览器。,安装完后,进行实操,常用的基本操作,防止自己后期使用忘记,也给用到的朋友一个参考。3、如果扫描的网址url,无登录页,可选择“无”,,选择无,可以直接到第五步。2、输入需要扫描的URL,如果显示已连接到服务器,证明ok,点击下一步。5、选择测试策略,根据自己的需求,进行选择,我选择“缺省值”—下一步。7、完成扫描配置,选择“启动全面自动扫描”—“下一步”8、选择“是”,自动扫描开始,会弹出弹框保存文件。
由一次安全扫描引发的思考:如何保障 api 接口安全性?
爱写代码的程序员
05-29 399
引言 前段时间,公司对运行的系统进行了一次安全扫描,使用的工具是 IBM 公司提供的 AppScan 。 这个正所谓不扫不要紧,一扫吓一跳,结果就扫出来这么个问题。 我们的一个年老失修的内部系统,在登录的时候,被扫描出来安全隐患,具体学名是啥记不清了,大致就是我们在发送登录请求的时候,有个字段名是 password , AppScan 认为这个是不安全的,大概就是下面: 我第一个反应是把这个字段名字改一下,毕竟能简单解决就简单解决嘛,结果当然是啪啪啪打脸。 这个名字我不管是换成 aaa 还是 bbb ,再
Burpsuite 指纹特征绕过
最新发布
Javachichi的博客
12-05 3892
需要高版本 17 + 的 burp 运行插件,可 bypass 网站流量设备的检测,正常抓包。未使用插件前,burp 指纹特征被识别,抓包被拦截。
[网络安全自学篇] 八.Web漏洞及端口扫描之Nmap、ThreatScan和DirBuster原理详解
热门推荐
杨秀璋的专栏
09-06 1万+
Web渗透技术的核心是发现Web漏洞,发现漏洞有手工和软件自动化扫描两种方式。对于用户验证漏洞、用户凭证管理问题、SQL注入等常见Web漏洞,都可以通过Web扫描器进行扫描。各个扫描器的功能和结果都不同,常见的包括HScan、HScan、X-Sccan、Acunetix Web Vulnerability Scanner、Jsky、Router Scan扫描工具等。本文主要讲解三个常见的Web漏洞扫描工具,分别是NMapp、ThreatScan和DirBuster。希望这篇基础性文章对你有所帮助.
web安全测试-AppScan使用分享
maxcode
07-24 1548
转载:http://www.cnblogs.com/myc618/p/4585292.html web安全测试-AppScan使用分享 这里主要分享如何使用AppScan对一大项目的部分功能进行安全扫描。   其实,对于安全方面的测试知道的甚少。因为那公司每个月要求对产品进行安全扫描。掌握了一人点使用技巧,所以拿来与大家分享。   因为产品比较大,功能模块也非常之多,我们不可能对整个产
API安全-扫描器实战
why811的博客
07-25 1297
向/graphql路径发请求,请求格式类似json但是非json,并非key value对应。
(45.6)【API接口漏洞】API接口RESTful测试工具postman、Restlet Client下载、使用
05-08 1673
API接口测试】RESTful测试工具
Appscan自动化Web应用安全扫描工具指南
IBM AppScan 的功能非常强大,它不仅可以对 Web 应用进行全面的安全扫描,还能够提供详细的扫描报告,帮助用户了解应用的安全状况。此外,该工具还提供了多种测试方法,包括动态扫描、静态代码分析和渗透测试等,...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

考拉007

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值