1、AppScan是什么?
AppScan是IBM的一款web安全扫描工具,可以利用爬虫技术进行网站安全渗透测试,根据网站入口自动对网页链接进行安全扫描,扫描之后会提供扫描报告和修复建议等。
AppScan有自己的用例库,版本越新用例库越全(用例库越全面,对漏洞的检测较全面,被测试系统的安全性则越高)
工作原理:
1)通过探索了解整个web页面结果
2)通过分析,使用扫描规则库对修改的HTTP Request进行攻击尝试
3)分析 Response 来验证是否存在安全漏洞

2、AppScan下载安装
下载地址:链接:https://pan.baidu.com/s/19TAHl8lYGmE0O753ULyzYA 密码:yvle

3、使用AppScan的步骤
1)打开AppScan扫描工具

2)点击【创建新的扫描】,选择【常规扫描】,会显示【扫描配置向导】弹框


3)点击【完全扫描配置】到扫描配置页面,AppScan支持web service项目的安全检测,但是需要先按照GSC

4)扫描配置-URL和服务器:起始URL输入我们要扫描网站的地址,如果网站还包含其他域名,则在其他服务器和域进行添加


5)扫描配置-登录管理:扫描的网站不需要登录则登录方法选择无即可;

若需要登录,则点击【记录】,默认使用appscan浏览器打开网站,输入账号密码登录成功后,登录序列就会被记录。



登录且记录成功后,点击 标签 ”详细信息“ 可以查看到对于的操作和请求

6)扫描配置-环境定义:如果知道系统使用的环境可以自己定义,不知道则使用默认。

7)扫描配置-排除路径和文件:对一些不需要的网址、图片、文件或者会影响扫描的网址做一个过滤操作。(可能会提高扫描速度和效率)

8)扫描配置-探索选项(冗余路径和深度路径可以进行适当的设置,其他选项可选择进行设置或者全部使用默认)

9)扫描配置-参数和cookie、自动表单填充、错误页面、多操作步骤、基于内容的结果:可使用默认配置(如有需要可进行配置)

10)扫描配置-Glass box:对系统安全性要求比较高可以进行配置(配置后扫描更准确,可能扫描出来的安全性问题较多)

11)扫描配置-通信和代理:可以配置线程数

12)扫描配置-测试策略和测试选项:可根据具体需要进行配置,不清楚直接选择缺省值即可。

13)扫描配置-其他选项:可根据需要进行配置,或者直接默认即可。以上选项设置完成后可保存为模板,下次可直接使用。

14)配置完成后,返回到配置向导主页,一直点击【下一步】到完成配置向导,即可进入扫描。


4、appscan扫描分三类:完全扫描、仅探索、仅测试。
1)完全扫描:探索+测试一起(适用于需要扫描的页面和元素较少的情况)
2)先探索、后测试:扫描的页面和元素较多的情况
3)探索:扫描出整个系统的基本结构和页面
4)测试:根据配置的信息,比如测试策略等对页面中的元素进行测试

5、通过【手动探索】获取需要扫描的指定页面
1)在打开的页面中点击需要测试的页面,完成后,点击【暂停记录】按钮后关闭页面,会弹出手动探索序列对话框(包含手动点击页面的URL链接)

6、扫描结果分析:报告和扫描日志

7、查看扫描结果

8、使用Appscan扫描建议:如果扫描的系统元素较多,需要合理配置扫描信息,否则可能导致扫描的时间过长,扫描效率过低。

AppScan安全扫描工具-IBM Security App Scan Standard相关推荐

  1. AppScan--图解web扫描工具IBM Security AppScan Standard

    原文:http://blog.csdn.net/u013147600/article/details/50001825: 公司要扫描个Web系统漏洞,所以就简单的学习了下. App Scan用法: 首 ...

  2. Appscan安全扫描工具入门使用说明

    目录 一.介绍 二.3个核心要素 三.下载与安装 3.1下载 3.2安装 四.Web端简单用法 五.扫描设置 5.1登录管理 5.2环境定义 5.3排除路径和文件 5.4探索选项 5.5通信和代理 5 ...

  3. NET Core的代码安全分析工具 - Security Code Scan

    NET Core的代码安全分析工具 - Security Code Scan 原文:NET Core的代码安全分析工具 - Security Code Scan NET Core的代码安全分析工具 - ...

  4. 一个适合.NET Core的代码安全分析工具 - Security Code Scan

    本文主要翻译自Security Code Scan的官方Github文档,结合自己的初步使用简单介绍一下这款工具,大家可以结合自己团队的情况参考使用.此外,对.NET Core开发团队来说,可以参考张 ...

  5. Web 漏洞扫描工具 AppScan 和 AWVS 使用方式

    Web 漏洞扫描工具 AppScan 和 AWVS 使用方式 文章目录 Web 漏洞扫描工具 AppScan 和 AWVS 使用方式 0x01 AppScan 基本操作 1.AppScan 简介 1. ...

  6. 常见漏洞扫描工具AWVS、AppScan、Nessus的使用

    HVV笔记--常见漏洞扫描工具AWVS.AppScan.Nessus的使用 1 AWVS 1.1 安装部署 1.2 激活 1.3 登录 1.4 扫描web应用程序 1.4.1 需要账户密码登录的扫描 ...

  7. IBM AppScan 安全扫描:Missing Content-Security-Policy ;X-Content-Type-Options ;X-XSS-Protection响应头

    一问题:IBM AppScan 安全扫描提示: 二问题解决: 1. X-XSS-Protection 目的 这个header主要是用来防止浏览器中的反射性xss.现在,只有IE,chrome和safa ...

  8. AppScan系列——web安全测试---AppScan扫描工具

    转自:http://www.cnblogs.com/fnng/archive/2012/05/27/2520594.html [注,我共享一个appscan9.0的百度网盘下载链接:http://pa ...

  9. AppScan 是一款web安全扫描工具

    AppScan介绍: AppScan是IBM的一款web安全扫描工具,主要适用于Windows系统.该软件内置强大的扫描引擎,可以测试和评估Web服务和应用程序的风险检查,根据网站入口自动对网页链接进 ...

最新文章

  1. 帝国cms万能通用api二次开发核心包使用说明
  2. 25个自适应菜单教程和脚本
  3. 系统架构设计师考试知识点整理-3:信号量与PV操作
  4. 牛客网——数字求和(水题
  5. JAVA入门级教学之(深入throws的异常抛出机制)
  6. Windows环境下安装Cassandra1.0.2
  7. 触发事件_黑暗的三天之触发事件
  8. AsyncResult使用场景
  9. 均方根误差RMSE 均方根值(RMS)+ 均方根误差(RMSE)+标准差(Standard Deviation)
  10. Servlet运行原理
  11. js上传文件获取文件流
  12. NetXRay 工具
  13. 学计算机的怎样分析TCGA数据库,TCGA一些数据库
  14. 学机器学习怎么可以不知道最小二乘法
  15. ESX4 安装前的考虑
  16. react 或者 vue,如何做 SEO 优化?
  17. SSL-ZYC 游戏
  18. 凌晨3点不回家-现实版
  19. creo二次开发python_使用C#/.net语言进行ProE/Creo二次开发
  20. 2016年中国智慧城市发展前瞻

热门文章

  1. 两台WIN10电脑实现局域网文件共享
  2. A3NCF: An Adaptive Aspect Attention Model for Rating Prediction
  3. 人脸表情识别和情绪分类 | Python+TensorFlow(框架)+Keras+PyQt5
  4. tkinter 设置不可编辑_jquery 设置页面元素不可点击、不可编辑、只读(备忘)
  5. 网红超火罗马桌面时钟效果
  6. 流式传输原理(一) 之通过Web服务器访问音频和视频
  7. iOS App-Mac文件共享操作
  8. 查找斐波纳契数列中第 N 个数
  9. char char* 的困惑
  10. uni-app h5 使用微信JSSDK的方式