如何利用AppScan扫描H5页面,进行安全测试?

最新推荐文章于 2024-03-07 14:40:34 发布
原创 最新推荐文章于 2024-03-07 14:40:34 发布 · 1.5k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#功能测试

本文介绍了如何在进行H5页面安全测试时,通过安装FoxyProxy作为代理工具,实现AppScan的外部设备探索,以便抓取接口信息,与传统的Web安全测试方法区别开来。

前期项目组接触的都是Web安全测试,今天做安全测试的时候,有一个项目刚好有H5页面,用以前那种AppScan内置浏览器的探索方式是不行的,研究了下,可以使用外部设备进行探索。

AppScan有两种手动探索方式,一种是AppScan的内置浏览器探索,另外一种就是外部设备探索,以前的Web类型安全测试就是运用的内置浏览器探索,今天的H5页面运用的就是外部设备探索。

与Web安全测试相比,H5的安全测试唯一不同的点就是在探索方式上,今天我们就分享下外部设备的探索方式。

1、安装FoxyProxy代理管理工具,打开火狐浏览器,在地址栏输入:about:addons,搜索:FoxyProxy组件

2、选择FoxyProxy Standard

3、下载并安装FoxyProxy Standard

最低0.47元/天 解锁文章
H5实现扫描二维码
前端御书房
10-07 1万+
扫描二维码是app常用的一种基础功能,该功能使用户能够方便地登录、浏览网站、获取信息等操作,鉴于此,把该功能引入H5利用H5实现扫描二维码功能在把扫描二维码功能引入H5的过程中,通过对比5中工具库找到了两种比较好用的第三方库。接下来就对这两种库进行记录。
AppScan-被动手动扫描
weixin_49349476的博客
04-30 1022
被动扫描是针对性的扫描,浏览器代理到AppScan,然后进行手工操作,探索产生出的流量给AppScan进行扫描。这样可以使得扫描足够精准,覆盖率更加高,还能减少不必要的干扰。
利用Appscan对REST Web service进行安全扫描
trulyfeixue的博客
01-23 6043
近年来 Web 服务应用日趋广泛,人们往往利用 Web 服务集成不同平台的应用程序,或是将公共服务通过服务接口暴露给外部用户使用。这样便为黑客利用 Web 服务攻击企业应用提供了可乘之机。本文主要介绍如何利用 Rational AppScan 检测 Web 服务的安全漏洞。 目前使用的Web service主要为基于SOAP协议和基于REST架构,而基于REST架构越来越受到欢迎...
H5页面这样测,业务方反馈 0 Bug!
weixin_44867191的博客
06-12 860
页面返回或者手机自带返回键(安卓物理键返回/IOS左滑返回),点击一次和点击多次,按期望返回上一页,不会出现死循环,不会直接退回App主界面。部门最近的H5相关项目挺多的,由于团队之前接触的大多是Web项目,很少涉及H5,想着给团队成员培训下,减少漏测率,于是整理了一个文档。别说,效果还挺不错的,连着上线6个版本,都没有收到业务方反馈Bug,好东西不能独享,分享给大家,希望对大家有所启发。手机浏览器也有缓存,有些图片和文件会被缓存下来,导致首次访问和二次访问的时间不一样,在测试过程中,注意清除缓存。
给html5一个绝对路径自动扫描文件,使用appscan实现多站扫描简单自动化
weixin_33404102的博客
05-30 664
摘要: appscan的GUI界面新建扫描任务时虽然只能指定一个target,并且也没有提供类似awvs/nessus的web接口,但是它提供的有一个“AppScanCMD.exe”,利用该工具,就可以以DOS命令的方式来批量、自动化执行扫描任务。 …随着年龄增长,身上负担的压力也越来越大。在工作中很多时候都会需要短时间内扫描多个网站,可能是平时时间不够,或者是客户特别要求,很多时候工作中的扫描工...
web安全扫描---使用AppScan进行扫描
ff137_的博客
07-11 1715
这几天任务比较少,闲来无事,学习一下AppScan安全扫描的简单使用,顺便记录一下 需要注意的是,在执行安全测试时,会产生很多的垃圾数据,千万不要使用生产(正式)环境来做安全扫描!!! 一、扫描前配置 打开AppScan-创建新的扫描-常规扫描,进入扫描配置阶段 选择扫描类型,下一步 输入扫描系统的URL,下一步 使用默认的登录方法(也可以选择自动,...
APP安全扫描H5文件泄露风险检测
最新发布
09-19
如何使用工具扫描H5文件泄露? 2. 常见的H5文件泄露风险有哪些? 3. 如何预防H5文件泄露? 4. APP的其他安全风险是什么? 5. H5文件与其他文件泄露的区别? 确保问题数量在3-5个。 最终输出格式: - 回答内容...
appscan扫描uniapp代码吗
08-12
注意:AppScan是一款安全扫描工具,主要用于Web应用和移动应用的动态和静态安全测试。UniApp是一个使用Vue.js开发跨平台应用的框架,可以输出到小程序、H5、App等平台。 我们需要考虑: 1. AppScan是否支持扫描...
软件测试面试题整理(六)之app测试篇
热门推荐
weixin_45912307的博客
11-06 2万+
1. Web 端测试和 App 端测试有何不同(常见) 系统结构方面 Web 项目,b/s架构,基于浏览器的;Web 测试只要更新了服务器端,客户端就会同步会更新; App 项目,c/s结构的,必须要有客户端;App 修改了服务端,则客户端用户所有核心版本都需要进行回归测试一遍; 兼容方面 Web项目:a. 浏览器(火狐、谷歌、IE等)b. 操作系统(Windows7、Windows10、Linux等) App项目:a. 设备系统: iOS(ipad、iphone)、Android(三星、华为、联想等) 、
H5端实现扫一扫功能
geng97280的博客
03-07 3094
实现H5端扫一扫的功能。
rabbit-scanner:带有HTML5 JavaScript支持的漏洞扫描程序
05-10
Watchrabbit-扫描仪 具有HTML5 / JavaScript支持的漏洞扫描程序。 由提供技术支持 当前的版本 2015年5月24日发布Rabbit-scanner 0.8.1 ! 应该会很快出现在Maven中央。 正在运行的扫描仪 为了运行扫描程序,请向该应用程序的所有模块添加依赖关系,并使用@EnableSupervisiorService和@EnableAttackerService注释您的配置类。 然后,如果要实施自定义结果处理策略,请实施ResultProcessingStrategy 。 最后一步,使用OrderService将站点添加到测试中。 建筑工程 为了建立项目,请运行mvn clean install 。
APPSCAN扫描流程
06-13
Rational AppScan(简称 AppScan)其实是一个产品家族,包括众多的应用安全扫描产品,从开发阶段的源代码扫描AppScan source edition,到针对 Web 应用进行快速扫描AppScan standard edition,以及进行安全管理和汇总整合的 AppScan enterprise Edition 等。我们经常说的 AppScan 就是指的桌面版本的 AppScan,即 AppScan standard edition。其安装在 Windows 操作系统上,可以对网站等 Web 应用进行自动化的应用安全扫描和测试。
安全扫描入门
lelemom的博客
11-08 434
Nginx配置成https 再扫描,否则会报一堆http不安全之类的错误 被扫描的业务系统所在的linux服务器时间= 扫描工具系统时间一致,  
APP内的H5页面测试方法, 移动端的浏览器(例如UC浏览器)测试方法
weixin_30323961的博客
10-25 3526
前言: 用appium做UI自动化,测试APP里面的H5和测试手机浏览器打开的H5的操作流程上是有所区别的。比如要测试APP内嵌的H5需要先操作appium启动APP,然后通过context切到webview模式,才能操作H5页面,但是如果测试手机网页的话就比较简单了,设置好浏览器比如选择Chrome,直接访问网址就好了。 -----------------------------------...
一种h5前端和服务端通信的安全方案
jiangjunerdai的博客
04-19 9496
前后端H5防篡改、防重放、敏感信息加解密、防XSS攻击方案 完整步骤如下: 1、前端打开h5页面时,调用后端接口获取后端服务器时间,并计算出后端服务器时间与APP时间偏差。调用后端接口获取后端通讯密钥(公钥)。(APP调用后端就接口传入的时间戳参数Timestamp= APP当前时间+ 【后端服务器时间与APP时间偏差】)。 2、前端生成一个AES密钥,用通讯密钥(公钥)对其做RS...
H5测试知识总结
HRD的博客
12-08 2056
(1)合法性检查:(输入0日、1日、32日)、月输入[1、3、5、7、8、10、12]、日输入[31]、月输入[4、6、9、11]、日输入[30][31]、输入非闰年,月输入[2],日期输入[28、29]、输入闰年,月输入[2]、日期输入[29、30]、月输入[0、1、12、13]:’-=等可能导致系统错误的字符、禁止直接输入特殊字符时,尝试使用粘贴拷贝查看是否能正常提交、word中的特殊功能,通过剪贴板拷贝到输入框,分页符,分节符类似公式的上下标等、数值的特殊符号如∑,㏒,㏑,∏,+,-等、
appscan 应用
二狗学网安
07-21 527
appscan
漏扫工具AppScan
weixin_43549712的博客
04-18 726
1 确定接口漏扫地址 2 按照默认设置进行下一步,选择IE浏览器,证书登录 3 扫描方式选择“手动探索” 4 开始漏扫,证书登录,在页面上做对应交易,筛选漏扫接口,点击开始
H5页面这样测试,让Bug无处可逃!
nhb687095的博客
11-14 1332
这些资料,对于【软件测试】的朋友来说应该是最全面最完整的备战仓库,这个仓库也陪伴上万个测试工程师们走过最艰难的路程,希望也能帮助到你!
使用AppScan进行Web安全扫描与测试教程
AppScan的独特之处在于其在所有级别的应用上提供完整的纠正任务,并且是商业安全扫描工具中唯一支持简体中文的。 系统需求方面,安装Rational AppScan的过程简单快捷,由“安装向导”引导完成。对于许可证安装,...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值