




版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
1、AppScan進行進行基本的安全測試基本的安全測試2目錄目錄AppScanAppScan簡介簡介AppScanAppScan掃描掃描驗證掃描結(jié)果驗證掃描結(jié)果分析掃描結(jié)果分析掃描結(jié)果3AppScan是業(yè)界第一款并且是領(lǐng)先的web應(yīng)用安全測試工具包,也是唯一一個在所有級別應(yīng)用上提供全面糾正任務(wù)的工具。AppScan掃描web應(yīng)用的基礎(chǔ)架構(gòu),進行安全漏洞測試并提供可行的報告和建議。AppScan的掃描能力,配置向?qū)Ш驮敿毜膱蟊硐到y(tǒng)都進行了整合,簡化使用,增強用戶效率,有利于安全防范和保護web應(yīng)用基礎(chǔ)架構(gòu)。在商業(yè)安全掃描工具中,提供簡體中文支持的,目前也只有AppScan一個。AppScanAppS
2、can簡介簡介4安裝Appscan,有安裝向?qū)?如果你還沒有安裝.Net framwork,Appscan安裝過程會自動安裝,并需要重新啟動。按照向?qū)У闹甘?,可以很容易的完成安裝。如果你使用的是默認許可,你將只允許掃描appscan中的測試網(wǎng)站。要掃描自己的網(wǎng)站,需要付費購買許可版本。咱們的咱們的AppscanAppscan證書服務(wù)器證書服務(wù)器 88AppScanAppScan掃描掃描5在我們開始掃描之前,讓我們對Appscan的工作做一個了解.任何自動化掃描器都有兩個目標:找出所有可用的鏈接和攻擊尋找應(yīng)用程序漏洞。探索探索(Explore):(Explor
3、e):在探索階段,Appscan試圖遍歷網(wǎng)站中所有可用的鏈接,并建立一個層次結(jié)構(gòu)。它發(fā)出請求,并根據(jù)響應(yīng)來判斷哪里是一個漏洞的影響范圍。例如,看到一個登陸頁面,它會確定通過繞過注入來通過驗證.在探索階段不執(zhí)行任何的攻擊,只是確定測試方向.這個階段通過發(fā)送的多個請求確定網(wǎng)站的結(jié)構(gòu)和即將測試的漏洞范圍。測試測試(Test)(Test):在測試階段,Appscan通過攻擊來測試應(yīng)用中的漏洞.通過釋放出的實際攻擊的有效載荷,來確定在探索階段建立的安全漏洞的情況.并根據(jù)風險的嚴重程度排名。在測試階段可能會發(fā)現(xiàn)網(wǎng)站的新鏈接,因此Appscan在探索和測試階段完成之后會開始另一輪的掃描,并繼續(xù)重復(fù)以上的過程
4、,直到?jīng)]有新的鏈接可以測試。掃描的次數(shù)也可以在用戶的設(shè)置中配置.AppScanAppScan掃描掃描6AppScanAppScan掃描掃描7開始掃描,啟動Appscan,你會看到所示的歡迎屏幕,我們點擊“創(chuàng)建新的掃描”,然后選擇所需要的掃描模板,模板包括已經(jīng)定義好的掃描配置,我們以“常規(guī)掃描”舉例,然后會出現(xiàn)配置向?qū)?,選擇“AppScan(自動或手動)” 。AppScanAppScan掃描掃描8AppScanAppScan掃描掃描起始起始URLURL:此功能指定要掃描的起始網(wǎng)址.在大多數(shù)情況下,這將是該網(wǎng)站的登陸頁面.。以性能測試環(huán)境 自營會員管理后臺為例 :6:
5、9810/selfmember/logon.jsp9AppScanAppScan掃描掃描登陸方法:登陸方法:10記錄:記錄:選擇此項后,會出現(xiàn)一個新的瀏覽器,并嘗試鏈接到指定的網(wǎng)站作為本掃描的起始URL.你需要輸入賬號和密碼登陸到應(yīng)用程序.這樣設(shè)置之后你可以關(guān)閉瀏覽器,但是不要點擊注銷按鈕.有時候你會發(fā)現(xiàn)打開的瀏覽器不是IE,而是Appscan瀏覽器.你可以改變通過設(shè)置來改變這個.ToolsOptions Advanced,設(shè)置OpenIEBrower的值0Appscan瀏覽器,1IE,2Firefox,3Chrome.如果該網(wǎng)站的行為在不同的瀏覽器下有所不同,這個設(shè)置將是非常有用的。提示:提
6、示:每次注銷之后,Appscan會提示你登陸到應(yīng)用程序中.如果你打算整個掃描你的系統(tǒng),你可以選擇這個選項.自動:自動:在這里你可以直接指定用戶名和密碼,當你需要登陸到應(yīng)用程序的時候.AppScanAppScan掃描掃描11AppScanAppScan掃描掃描測試策略:測試策略:選擇最適合你需求的策略12AppScanAppScan掃描掃描最后一步,選擇啟動方式之后,完成即配置完畢。最后一步,選擇啟動方式之后,完成即配置完畢。啟動全面自動掃描:啟動全面自動掃描:啟動應(yīng)用程序的全面掃描(“探索”后將立即進行“測試”)。使用僅自動使用僅自動“ “探索探索” ”來啟動:來啟動:探索應(yīng)用程序,但不繼續(xù)“
7、測試”階段。(可以稍后運行“測試”階段)。使用手動探索來啟動:使用手動探索來啟動:瀏覽器將打開,并且您可以通過單擊鏈接并填寫字段來手動探索站點。AppScan 將記錄結(jié)果,以便在“測試”階段使用。我將稍后啟動掃描我將稍后啟動掃描:關(guān)閉向?qū)В粏訏呙?。下次啟動掃描時,會使用該模板。13分析掃描結(jié)果分析掃描結(jié)果掃描結(jié)果:掃描結(jié)果:14分析掃描結(jié)果分析掃描結(jié)果分析掃描結(jié)果:分析掃描結(jié)果:以SQL盲注為例,先看 請求/響應(yīng) 項中的測試數(shù)據(jù)信息,返回數(shù)據(jù)中是否有明確的提示信息,例如“您發(fā)送請求的參數(shù)中含有非法字符”,若沒有,則需要進一步進行驗證是否注入成功,這時我們需要用SQLMAP進行驗證。15驗證掃描結(jié)果驗證掃描結(jié)果SQLMAPSQLMAP驗證方法:驗證方法:sqlmap.py -u “參數(shù)1” -cookie “參數(shù)2” -data “參數(shù)3 -f -banner -dbs -users -v 416驗證掃描驗證掃描結(jié)果結(jié)果17驗證掃描結(jié)果驗證掃描結(jié)果18驗證掃描結(jié)果驗證掃描結(jié)果注入失敗的SQLMAP
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2025至2030運動光學裝置行業(yè)項目調(diào)研及市場前景預(yù)測評估報告
- 2025至2030中國自由潛水鰭行業(yè)市場占有率及投資前景評估規(guī)劃報告
- 2025至2030中國自動家庭服務(wù)行業(yè)產(chǎn)業(yè)運行態(tài)勢及投資規(guī)劃深度研究報告
- 2025至2030中國膿皰病治療行業(yè)產(chǎn)業(yè)運行態(tài)勢及投資規(guī)劃深度研究報告
- 2025至2030中國能源部門綜合行業(yè)產(chǎn)業(yè)運行態(tài)勢及投資規(guī)劃深度研究報告
- 2025至2030中國聯(lián)苯雙酯行業(yè)產(chǎn)業(yè)運行態(tài)勢及投資規(guī)劃深度研究報告
- 2025至2030中國老年教育行業(yè)市場發(fā)展分析及經(jīng)營案例與投資發(fā)展報告
- 2025至2030中國美體內(nèi)衣行業(yè)發(fā)展研究與產(chǎn)業(yè)戰(zhàn)略規(guī)劃分析評估報告
- 2025至2030中國網(wǎng)絡(luò)遙測解決方案行業(yè)產(chǎn)業(yè)運行態(tài)勢及投資規(guī)劃深度研究報告
- 2025至2030中國網(wǎng)絡(luò)文學行業(yè)競爭狀況與盈利前景研究報告
- (完整word版)高中英語3500詞匯表
- 輸變電工程檔案管理歸檔要求
- SYB創(chuàng)業(yè)培訓游戲模塊2課件
- 【超星爾雅學習通】航空概論網(wǎng)課章節(jié)答案
- 獸醫(yī)傳染病學(山東聯(lián)盟)智慧樹知到答案章節(jié)測試2023年青島農(nóng)業(yè)大學
- 腸系膜脈管系統(tǒng)腫瘤的診斷
- 爆破工程技考核試卷
- GB/T 35273-2020信息安全技術(shù)個人信息安全規(guī)范
- GB 18068-2000水泥廠衛(wèi)生防護距離標準
- 教師調(diào)動登記表(模板)
- 2022年醫(yī)院收費員考試試題及答案
評論
0/150
提交評論