一. 概念
AppScan是什么:
AppScan是IBM的一款web安全掃描工具,可以利用爬蟲(chóng)技術(shù)進(jìn)行網(wǎng)站安全滲透測(cè)試,根據(jù)網(wǎng)站入口自動(dòng)對(duì)網(wǎng)頁(yè)鏈接進(jìn)行安全掃描,掃描之后會(huì)提供掃描報(bào)告和修復(fù)建議等。AppScan有自己的用例庫(kù)框冀,版本越新用例庫(kù)越全(用例庫(kù)越全面,對(duì)漏洞的檢測(cè)較全面敏簿,被測(cè)試系統(tǒng)的安全性則越高)
Appscan工作原理:
(掃描規(guī)則庫(kù) + 爬行 + 測(cè)試)
1)通過(guò)探索了解整個(gè)web頁(yè)面結(jié)果
2)通過(guò)分析明也,使用掃描規(guī)則庫(kù)對(duì)修改的HTTP Request進(jìn)行攻擊嘗試
3)分析 Response 來(lái)驗(yàn)證是否存在安全漏洞
二.APPScan使用步驟
1.掃描模板的選擇:
2. 進(jìn)入配置向?qū)海x擇“自動(dòng)或手動(dòng)”
3.輸入起始URL,也可掃描其他的域名(輸入項(xiàng)目入口地址以外的其他域名)温数。
4.登錄管理-設(shè)置登錄方法:
記錄: 點(diǎn)擊“記錄”按鈕绣硝,進(jìn)行錄制登錄操作。
提示:掃描過(guò)程中輸入用戶(hù)名密碼
自動(dòng):輸入用戶(hù)名和密碼撑刺,掃描時(shí)會(huì)自動(dòng)根據(jù)這個(gè)憑證登錄應(yīng)用程序鹉胖。
無(wú) : 不登錄
5.選擇測(cè)試策略:
測(cè)試策略說(shuō)明:
①缺省值:包含多有測(cè)試,但不包含侵入式和端口偵聽(tīng)器
②僅應(yīng)用程序:包含所有應(yīng)用程序級(jí)別的測(cè)試够傍,但不包含侵入式和端口偵聽(tīng)器
③僅基礎(chǔ)結(jié)構(gòu):包含所有基礎(chǔ)結(jié)構(gòu)級(jí)別的測(cè)試甫菠,但不包含侵入式和端口偵聽(tīng)器
④侵入式:包含所有侵入式測(cè)試(可能影響服務(wù)器穩(wěn)定性的測(cè)試)
⑤完成:包含所有的AppScan測(cè)試
⑥關(guān)鍵的少數(shù):包含一些成功可能性較高的測(cè)試精選,在時(shí)間有限時(shí)對(duì)站點(diǎn)評(píng)估可能有用
⑦開(kāi)發(fā)者精要:包含一些成功可能性極高的應(yīng)用程序測(cè)試的精選王带,在時(shí)間有限時(shí)對(duì)站點(diǎn)評(píng)估可能有用
⑧Web Service:包含所有SOAP相關(guān)測(cè)試
6.勾選啟動(dòng)方式:
1)啟動(dòng)全面自動(dòng)掃描:會(huì)自動(dòng)探索URL淑蔚,而且邊探索邊掃描頁(yè)面。
2)僅使用自動(dòng)“探索”啟動(dòng):自動(dòng)探索URL愕撰,不做掃描刹衫。
3)使用“手動(dòng)探索”: 手動(dòng)去訪問(wèn)頁(yè)面,AppScan會(huì)自動(dòng)記錄你訪問(wèn)頁(yè)面的url
4)我將稍后啟動(dòng)掃描:AppScan不做任何操作搞挣,需要自己手動(dòng)去啟動(dòng)掃描带迟。
7.進(jìn)行掃描:
appscan掃描分類(lèi):
完全掃描、僅探索囱桨、僅測(cè)試仓犬。
1)完全掃描:探索+測(cè)試一起(適用于需要掃描的頁(yè)面和元素較少的情況)
2)先探索、后測(cè)試:掃描的頁(yè)面和元素較多的情況
3)探索:掃描出整個(gè)系統(tǒng)的基本結(jié)構(gòu)和頁(yè)面
4)測(cè)試:根據(jù)配置的信息舍肠,比如測(cè)試策略等對(duì)頁(yè)面中的元素進(jìn)行測(cè)試
然后選擇“繼續(xù)僅測(cè)試”搀继,只對(duì)前面探索過(guò)的頁(yè)面進(jìn)行測(cè)試,不對(duì)新發(fā)現(xiàn)的頁(yè)面進(jìn)行測(cè)試翠语∵辞“完全測(cè)試”就是把兩個(gè)步驟結(jié)合在一起,一邊探索肌括,一邊測(cè)試点骑。
8.報(bào)告的生成
9.查看掃描結(jié)果
