IBM APPSCAN 使用学习
0x00 前言
BM Security AppScan Standard(以下简称 AppScan Standard)是业界一款优秀的 Web 应用安全测试工具,IBM Security AppScan 产品系列是 IBM 安全框架解决方案中应用安全的一个重要部分,可以实现对 Web 应用安全漏洞的动态扫描、代码静态分析,以及针对已上线的系统做 Web 安全攻击测试。本专题为您推介 AppScan 产品的使用指南和最佳实践,帮助您深入了解这一业界领先的 Web 应用安全产品,并在实践中使用它来保证 Web 应用的安全。
0x01 策略学习
1 漏洞搜索
在菜单栏“ 扫描” -->>>" 扫描配置“ (或者 F10 )--->>>" 测试策略“ --->>>>" WASC威胁分类”、“所有分析技术” ,首先我们勾选上所有的WASC分类,然后在搜索输入相关的漏洞进行搜索,例如“ 盲注”。结果如下图所示:
2 咨询
完成第二步后,我们可以中间的下面底栏在查看“ 咨询” ,查看漏洞的名称、产生的威胁、可能的原因、技术描述、受影响产品、引用和相关链接等重要描述。这些文字描述对于我们编写漏洞说明报告是很有帮助的,此外在“ 引用和相关链接 ” 有关于漏洞说明的培训和文档介绍,这个对于学习漏洞来说,也是很不错的平台。
3 筛选
出现搜索后的结果,当然我们要适当筛选一下符合我们需求的漏洞:
4 培训视频
当我们点击 “ Blind SQL Injection Training Module” 后,浏览器会自动跳到培训视频。如下图“
0x02 漏洞修复
1 修复概述
在0x01当中,进行到第3 步时,我们可以中间的下面底栏在查看“ 修订建议” ,
2 代码修复
0x03 安全报告
在最后的安全报告,我们需要对出现的安全问题编写一个汇总的安全报告,这个过程需要很多的文档信息支持,这时我们可以参考上面的方式,筛选漏洞,然后复制其中的漏洞修复建议。
欢迎大家分享更好的思路,热切期待^^_^^ !!!
IBM APPSCAN 使用学习相关推荐
- IBM AppScan 安全扫描报告中部分问题的解决办法
IBM AppScan 安全扫描:加密会话(SSL)Cookie 中缺少 Secure 属性处理办法 原因分析: 服务器开启了Https时,cookie的Secure属性应设为true: 解决办法: ...
- IBM AppScan 安全扫描:Missing Content-Security-Policy ;X-Content-Type-Options ;X-XSS-Protection响应头
一问题:IBM AppScan 安全扫描提示: 二问题解决: 1. X-XSS-Protection 目的 这个header主要是用来防止浏览器中的反射性xss.现在,只有IE,chrome和safa ...
- Nat. Mach. Intel. | IBM RXN: 深度学习在化学反应分类上大放异彩
最近IBM和伯尔尼大学的研究人员利用基于自注意力机制的深度神经网络实现了对化学反应的分类,该项成果发布于Nature Machine Intelligence杂志上. 化学反应的分类对化学家们有很高的 ...
- IBM Machine Learning学习笔记(一)——Exploratory Data Analysis for Machine Learning
数据的探索性分析 1. 读入数据 (1)csv文件读取 (2)json文件读取 (3)SQL数据库读取 (4)Not-only SQL (NoSQL)读取 (5)从网络中获取 2. 数据清洗 (1)缺 ...
- IBM分布式深度学习技术将语音识别训练时间从一周缩短到11小时
可靠,稳健.可通用的语音识别是机器学习中的一个持续性挑战.训练自然语言理解模型不仅需要包含数千小时语音和数百万(甚至数十亿)文本单词的语料库,还需要足够强大的硬件以在合理的时间范围内处理它们. 为了减 ...
- IBM Machine Learning学习笔记——Time Series and Survival Analysis
文章目录 一.时间序列介绍 1.时间序列分析介绍 2.时间序列分解 二.平稳性和时间序列平滑 1.稳定性和自相关 2.时间序列平滑 (1)移动平均法 (2)指数平均法 三.ARMA模型 1.ARMA模 ...
- IBM 存储 V3500学习笔记
前言: NAS(Network Attached Storage-网络附着存储)即将存储设备通过标准的网络拓扑结构(例如以太网)连接到一群计算机上.NAS是部件级的存储方法,它 的重点在于帮助解决迅速 ...
- IBM AppScan 安全漏洞问题修复(.net)
按问题类型分类的问题 使用 SQL 注入的认证旁路2 已解密的登录请求3 登录错误消息凭证枚举1 会话标识未更新2 跨站点请求伪造1 Missing "Content-Security-Po ...
- IBM Machine Learning学习笔记(二)——Supervised Learning: Regression
文章目录 一.Introduction to Supervised Machine Learning 二.Data Splits and Cross Validation 三.Regression w ...
最新文章
- 论文简述 | CamVox: 一种低成本、高精度的激光雷达辅助视觉SLAM系统
- kill无法杀死某个进程
- Android开机logo修改方法
- JZOJ 5372. 【NOIP2017提高A组模拟9.17】猫
- 正则表达式贪婪与非贪婪模式
- centos7下python3与python2共存并且开启py3虚拟环境
- mysql对测试如何_我如何对MySQL进行基准测试?
- 关于爬虫数据的解析器设计
- java中为什么还要防止内存泄露_JAVA防止内存的泄漏什么意思,内存还能泄露?...
- C# —— IEnumerable和状态机
- php方法参数,关于PHP方法参数的那一些事
- 吴恩达机器学习学习笔记第九章:神经网络学习
- form表单的get和post传值问题
- 七月算法机器学习5 回归分析与工程应用 小案例
- Kubernetes 持久化存储是个难题,解决方案有哪些?\n
- 基于springBoot的旅游管理系统w010
- 笔记本电脑连接WIFI速度很慢-解决办法 亲测有效【5MB/S直达10MB/S】
- 看完这篇解决你99%的运维安全陋习,快别踩坑了!
- C++中数据类型int, short, long, long long的数据范围
- 测试自己移动速度的软件,鼠标灵敏度测试检测工具 测试鼠标的灵敏度与移动速度...