使用Appscan进行安全测试
简介
根据二○○二年一月一日《计算机软件保护条例》规定:为了学习和研究软件内含的
设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经
软件著作权人许可,不向其支付报酬!
鉴于此,也希望大家按此说明研究软件!谢谢
百度云链接:http://pan.baidu.com/s/1bo1E0Qb 或群里下载
安装
下载直接安装Appscan,
确保安装了.net framwork和Adobe flash来执行扫描过程中的Flash内容。
没有安装.net framwork的话默认会下载,如果下载不了请!
安装完后进入安装目录替换LicenseProvider.dll
注意:这种自动扫描器会发送数据到服务器,有可能在扫描过程中让服务器超过负荷,所以它可能会删除服务器上的数据,添加新记录甚至让服务器崩溃.因此扫描之前最好备份所有的数据.最好线下测试即可。
已经运营的项目一定要在线下测试!
已经运营的项目一定要在线下测试!
已经运营的项目一定要在线下测试!
功能
1.通过探索(爬行)发现整个Web应用结构(找出所有可用的链接)
2.根据分析,发送修改的HTTP Request进行攻击尝试(攻击寻找应用程序漏洞)
3.通过对于Response的分析验证是否存在安全漏洞
理解了这个地方,就理解了AppScan的工作原理,我们慢慢展开
在使用AppScan的时候,要配置的第一个就是要检查的网站的地址,配置了以后,AppScan就会利用“探索”技术去发现这个网站存在多少个目录,多少个页面,页面中有哪些参数等,简单说,了解了你的网站的结构。
“探索”了解了,测试的目标和范围就大致确定了,然后呢,利用“军火库”,发送导弹,进行安全攻击,这个过程就是“测试”;针对发现的每个页面的每个参数,进行安全检查,检查的弹药就来自AppScan的扫描规则库,其类似杀毒软件的病毒库,具体可以检查的安全攻击类型都在里面做好了,我们去使用即可。
那么什么是“完全测试呢”,完全测试就是把上面的两个步骤整合起来,
使用
我们按照PDCA的方法论来进行规划和讨论; 建议的AppScan使用步骤:PDCA: Plan,Do,check, Action and Analysis.
计划阶段:明确目的,进行策略性的选择和任务分解。
1) 明确目的:选择合适的扫描策略
2) 了解对象:首先进行探索,了解网站结构和规模
3) 确定策略:进行对应的配置
a) 按照目录进行扫描任务的分解
b) 按照扫描策略进行扫描任务的分解
执行阶段:一边扫描一遍观察
4) 进行扫描
5) 先爬后扫(继续仅测试)
检查阶段(Check)
6) 检查和调整配置
结果分析(Analysis)
7) 对比结果
8) 汇总结果(整合和过滤)
详细使用方法
由于Appscan测试时间很长,好像是一个元素测试200次,建议先探索部分,然后仅测试,分析漏洞后再继续往下测试。
1.打开Appscan点击左上角文件-新建或者Ctrl+N创建扫描
2.选择常规扫描,进入配置向导。
3.选择Appscan(自动或手动)直接点击下一步,进入配置
4.点击”下一步“,出现URL和服务器的配置页面,如图,输入需要测试的URL。
5.点击”下一步“,出现登录管理的页面,这是因为对于大部分网站,需要用户名和密码登录进去才可以查看许多内容,未登录的情况下就只可以访问部分页面。没有验证码选记录或自动,有验证码选提示,不登录就选无
6.选择策略 完成
1)启动全面自动扫描:会自动探索URL,而且边探索边扫描页面。
2)仅使用自动“探索”启动:自动探索URL,不做扫描。
3)使用“手动探索”: 手动去访问页面,AppScan会自动记录你访问页面的url
4)我将稍后启动扫描:AppScan不做任何操作,需要自己手动去启动扫描。
这是测公司项目出来的漏洞
最后生成的测试报告
更深入可看以下文章:http://blog.csdn.net/xiao1542375620/article/details/52388353
https://www.cnblogs.com/Lam7/p/7095243.html
https://wenku.baidu.com/view/2b330764492fb4daa58da0116c175f0e7cd119e0.html