AppScan安全扫描工具-IBM Security App Scan Standard

1、AppScan是什么?
AppScan是IBM的一款web安全扫描工具,可以利用爬虫技术进行网站安全渗透测试,根据网站入口自动对网页链接进行安全扫描,扫描之后会提供扫描报告和修复建议等。
AppScan有自己的用例库,版本越新用例库越全(用例库越全面,对漏洞的检测较全面,被测试系统的安全性则越高)
工作原理:
1)通过探索了解整个web页面结果
2)通过分析,使用扫描规则库对修改的HTTP Request进行攻击尝试
3)分析 Response 来验证是否存在安全漏洞

2、AppScan下载安装
下载地址:链接:https://pan.baidu.com/s/19TAHl8lYGmE0O753ULyzYA 密码:yvle

3、使用AppScan的步骤
1)打开AppScan扫描工具
AppScan安全扫描工具-IBM Security App Scan Standard_第1张图片
2)点击【创建新的扫描】,选择【常规扫描】,会显示【扫描配置向导】弹框
AppScan安全扫描工具-IBM Security App Scan Standard_第2张图片
AppScan安全扫描工具-IBM Security App Scan Standard_第3张图片
3)点击【完全扫描配置】到扫描配置页面,AppScan支持web service项目的安全检测,但是需要先按照GSC
AppScan安全扫描工具-IBM Security App Scan Standard_第4张图片
4)扫描配置-URL和服务器:起始URL输入我们要扫描网站的地址,如果网站还包含其他域名,则在其他服务器和域进行添加
AppScan安全扫描工具-IBM Security App Scan Standard_第5张图片
AppScan安全扫描工具-IBM Security App Scan Standard_第6张图片
5)扫描配置-登录管理:扫描的网站不需要登录则登录方法选择无即可;
AppScan安全扫描工具-IBM Security App Scan Standard_第7张图片
若需要登录,则点击【记录】,默认使用appscan浏览器打开网站,输入账号密码登录成功后,登录序列就会被记录。
AppScan安全扫描工具-IBM Security App Scan Standard_第8张图片
AppScan安全扫描工具-IBM Security App Scan Standard_第9张图片
AppScan安全扫描工具-IBM Security App Scan Standard_第10张图片
登录且记录成功后,点击 标签 ”详细信息“ 可以查看到对于的操作和请求
AppScan安全扫描工具-IBM Security App Scan Standard_第11张图片

6)扫描配置-环境定义:如果知道系统使用的环境可以自己定义,不知道则使用默认。
AppScan安全扫描工具-IBM Security App Scan Standard_第12张图片

7)扫描配置-排除路径和文件:对一些不需要的网址、图片、文件或者会影响扫描的网址做一个过滤操作。(可能会提高扫描速度和效率)
AppScan安全扫描工具-IBM Security App Scan Standard_第13张图片

8)扫描配置-探索选项(冗余路径和深度路径可以进行适当的设置,其他选项可选择进行设置或者全部使用默认)
AppScan安全扫描工具-IBM Security App Scan Standard_第14张图片

9)扫描配置-参数和cookie、自动表单填充、错误页面、多操作步骤、基于内容的结果:可使用默认配置(如有需要可进行配置)
AppScan安全扫描工具-IBM Security App Scan Standard_第15张图片

10)扫描配置-Glass box:对系统安全性要求比较高可以进行配置(配置后扫描更准确,可能扫描出来的安全性问题较多)
AppScan安全扫描工具-IBM Security App Scan Standard_第16张图片

11)扫描配置-通信和代理:可以配置线程数
AppScan安全扫描工具-IBM Security App Scan Standard_第17张图片

12)扫描配置-测试策略和测试选项:可根据具体需要进行配置,不清楚直接选择缺省值即可。
AppScan安全扫描工具-IBM Security App Scan Standard_第18张图片

13)扫描配置-其他选项:可根据需要进行配置,或者直接默认即可。以上选项设置完成后可保存为模板,下次可直接使用。
AppScan安全扫描工具-IBM Security App Scan Standard_第19张图片

14)配置完成后,返回到配置向导主页,一直点击【下一步】到完成配置向导,即可进入扫描。
AppScan安全扫描工具-IBM Security App Scan Standard_第20张图片
AppScan安全扫描工具-IBM Security App Scan Standard_第21张图片
AppScan安全扫描工具-IBM Security App Scan Standard_第22张图片

4、appscan扫描分三类:完全扫描、仅探索、仅测试。
1)完全扫描:探索+测试一起(适用于需要扫描的页面和元素较少的情况)
2)先探索、后测试:扫描的页面和元素较多的情况
3)探索:扫描出整个系统的基本结构和页面
4)测试:根据配置的信息,比如测试策略等对页面中的元素进行测试
AppScan安全扫描工具-IBM Security App Scan Standard_第23张图片

5、通过【手动探索】获取需要扫描的指定页面
1)在打开的页面中点击需要测试的页面,完成后,点击【暂停记录】按钮后关闭页面,会弹出手动探索序列对话框(包含手动点击页面的URL链接)
AppScan安全扫描工具-IBM Security App Scan Standard_第24张图片
AppScan安全扫描工具-IBM Security App Scan Standard_第25张图片

6、扫描结果分析:报告和扫描日志
AppScan安全扫描工具-IBM Security App Scan Standard_第26张图片
AppScan安全扫描工具-IBM Security App Scan Standard_第27张图片

7、查看扫描结果
AppScan安全扫描工具-IBM Security App Scan Standard_第28张图片

8、使用Appscan扫描建议:如果扫描的系统元素较多,需要合理配置扫描信息,否则可能导致扫描的时间过长,扫描效率过低。

你可能感兴趣的:(测试工具,安全测试,测试相关)