使用Appscan进行安全测试

简介

Appscan是IBM出品的一个安全测试软件,采用黑盒测试的方式,可以扫描常见的web应用安全漏洞。其工作原理,首先是根据起始页爬取站下所有可见的页面,同时测试常见的管理后台;获得所有页面之后利用SQL注入原理进行测试是否存在注入点以及跨站脚本攻击的可能;同时还会对cookie管理、会话周期等常见的web安全漏洞进行检测。AppScan功能十分齐全,支持登录功能并且拥有十分强大的报表。在扫描结果中,不仅能够看到扫描的漏洞,还提供了详尽的漏洞原理、修改建议、手动验证等功能。AppScan的缺点在于,作为一款商业软件,价格十分昂贵。
所以,附:
根据二○○二年一月一日《计算机软件保护条例》规定:为了学习和研究软件内含的
设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经
软件著作权人许可,不向其支付报酬!
鉴于此,也希望大家按此说明研究软件!谢谢
 

百度云链接:http://pan.baidu.com/s/1bo1E0Qb 或群里下载

安装

下载直接安装Appscan,

确保安装了.net framwork和Adobe flash来执行扫描过程中的Flash内容。

没有安装.net framwork的话默认会下载,如果下载不了请

安装完后进入安装目录替换LicenseProvider.dll

注意:这种自动扫描器会发送数据到服务器,有可能在扫描过程中让服务器超过负荷,所以它可能会删除服务器上的数据,添加新记录甚至让服务器崩溃.因此扫描之前最好备份所有的数据.最好线下测试即可。

已经运营的项目一定要在线下测试!

已经运营的项目一定要在线下测试!

已经运营的项目一定要在线下测试!

功能

1.通过探索(爬行)发现整个Web应用结构(找出所有可用的链接)

2.根据分析,发送修改的HTTP Request进行攻击尝试(攻击寻找应用程序漏洞)

3.通过对于Response的分析验证是否存在安全漏洞

 AppScan 的扫描 分三类:完全扫描 、仅探索、仅测试
 
如果系统需要扫描的页面或是元素较少 可以直接选中 完全扫描( 其实就是探索和测试一条龙服务
 
如果页面需要扫描的页面和元素比较多时,可以分开来,先探索,探索完成后再进行测试。目的是了解被测的网站结构,评估范围。 探索也就是 扫描出整个系统的基本结构和页面
 
测试 就是根据你所配置的信息 如测试策略、深度等等 对页面中的元素进行测试 从而得出安全性问题。 只对前面探索过的页面进行测试,不对新发现的页面进行测试
 
如果只是对系统中某个模板进行 扫描的话,可以 通过 ”手动探索“ 获取需要扫描的指定页面
 

理解了这个地方,就理解了AppScan的工作原理,我们慢慢展开

在使用AppScan的时候,要配置的第一个就是要检查的网站的地址,配置了以后,AppScan就会利用“探索”技术去发现这个网站存在多少个目录,多少个页面,页面中有哪些参数等,简单说,了解了你的网站的结构。

“探索”了解了,测试的目标和范围就大致确定了,然后呢,利用“军火库”,发送导弹,进行安全攻击,这个过程就是“测试”;针对发现的每个页面的每个参数,进行安全检查,检查的弹药就来自AppScan的扫描规则库,其类似杀毒软件的病毒库,具体可以检查的安全攻击类型都在里面做好了,我们去使用即可。

那么什么是“完全测试呢”,完全测试就是把上面的两个步骤整合起来,

使用

我们按照PDCA的方法论来进行规划和讨论; 建议的AppScan使用步骤:PDCA: Plan,Do,check, Action and Analysis.

计划阶段:明确目的,进行策略性的选择和任务分解。

1)  明确目的:选择合适的扫描策略

2)  了解对象:首先进行探索,了解网站结构和规模

3)  确定策略:进行对应的配置

a)   按照目录进行扫描任务的分解

b)   按照扫描策略进行扫描任务的分解

 

执行阶段:一边扫描一遍观察

4)  进行扫描

5)  先爬后扫(继续仅测试)

 

检查阶段(Check)

6)  检查和调整配置

 

结果分析(Analysis)

7)  对比结果

8)  汇总结果(整合和过滤)

 

详细使用方法

由于Appscan测试时间很长,好像是一个元素测试200次,建议先探索部分,然后仅测试,分析漏洞后再继续往下测试。

1.打开Appscan点击左上角文件-新建或者Ctrl+N创建扫描

2.选择常规扫描,进入配置向导。

3.选择Appscan(自动或手动)直接点击下一步,进入配置

4.点击”下一步“,出现URL和服务器的配置页面,如图,输入需要测试的URL。

5.点击”下一步“,出现登录管理的页面,这是因为对于大部分网站,需要用户名和密码登录进去才可以查看许多内容,未登录的情况下就只可以访问部分页面。没有验证码选记录或自动,有验证码选提示,不登录就选无

6.选择策略 完成

1)启动全面自动扫描:会自动探索URL,而且边探索边扫描页面。

2)仅使用自动“探索”启动:自动探索URL,不做扫描。

3)使用“手动探索”: 手动去访问页面,AppScan会自动记录你访问页面的url

4)我将稍后启动扫描:AppScan不做任何操作,需要自己手动去启动扫描。

这是测公司项目出来的漏洞

最后生成的测试报告

更深入可看以下文章:http://blog.csdn.net/xiao1542375620/article/details/52388353

https://www.cnblogs.com/Lam7/p/7095243.html

https://wenku.baidu.com/view/2b330764492fb4daa58da0116c175f0e7cd119e0.html

 

你可能感兴趣的:(雷默,测试)