




版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領
文檔簡介
1、AppScan進行進行基本的安全測試基本的安全測試2目錄目錄AppScanAppScan簡介簡介AppScanAppScan掃描掃描驗證掃描結果驗證掃描結果分析掃描結果分析掃描結果3AppScan是業(yè)界第一款并且是領先的web應用安全測試工具包,也是唯一一個在所有級別應用上提供全面糾正任務的工具。AppScan掃描web應用的基礎架構,進行安全漏洞測試并提供可行的報告和建議。AppScan的掃描能力,配置向導和詳細的報表系統(tǒng)都進行了整合,簡化使用,增強用戶效率,有利于安全防范和保護web應用基礎架構。在商業(yè)安全掃描工具中,提供簡體中文支持的,目前也只有AppScan一個。AppScanAppS
2、can簡介簡介4安裝Appscan,有安裝向導,如果你還沒有安裝.Net framwork,Appscan安裝過程會自動安裝,并需要重新啟動。按照向導的指示,可以很容易的完成安裝。如果你使用的是默認許可,你將只允許掃描appscan中的測試網(wǎng)站。要掃描自己的網(wǎng)站,需要付費購買許可版本。咱們的咱們的AppscanAppscan證書服務器證書服務器 88AppScanAppScan掃描掃描5在我們開始掃描之前,讓我們對Appscan的工作做一個了解.任何自動化掃描器都有兩個目標:找出所有可用的鏈接和攻擊尋找應用程序漏洞。探索探索(Explore):(Explor
3、e):在探索階段,Appscan試圖遍歷網(wǎng)站中所有可用的鏈接,并建立一個層次結構。它發(fā)出請求,并根據(jù)響應來判斷哪里是一個漏洞的影響范圍。例如,看到一個登陸頁面,它會確定通過繞過注入來通過驗證.在探索階段不執(zhí)行任何的攻擊,只是確定測試方向.這個階段通過發(fā)送的多個請求確定網(wǎng)站的結構和即將測試的漏洞范圍。測試測試(Test)(Test):在測試階段,Appscan通過攻擊來測試應用中的漏洞.通過釋放出的實際攻擊的有效載荷,來確定在探索階段建立的安全漏洞的情況.并根據(jù)風險的嚴重程度排名。在測試階段可能會發(fā)現(xiàn)網(wǎng)站的新鏈接,因此Appscan在探索和測試階段完成之后會開始另一輪的掃描,并繼續(xù)重復以上的過程
4、,直到沒有新的鏈接可以測試。掃描的次數(shù)也可以在用戶的設置中配置.AppScanAppScan掃描掃描6AppScanAppScan掃描掃描7開始掃描,啟動Appscan,你會看到所示的歡迎屏幕,我們點擊“創(chuàng)建新的掃描”,然后選擇所需要的掃描模板,模板包括已經定義好的掃描配置,我們以“常規(guī)掃描”舉例,然后會出現(xiàn)配置向導,選擇“AppScan(自動或手動)” 。AppScanAppScan掃描掃描8AppScanAppScan掃描掃描起始起始URLURL:此功能指定要掃描的起始網(wǎng)址.在大多數(shù)情況下,這將是該網(wǎng)站的登陸頁面.。以性能測試環(huán)境 自營會員管理后臺為例 :6:
5、9810/selfmember/logon.jsp9AppScanAppScan掃描掃描登陸方法:登陸方法:10記錄:記錄:選擇此項后,會出現(xiàn)一個新的瀏覽器,并嘗試鏈接到指定的網(wǎng)站作為本掃描的起始URL.你需要輸入賬號和密碼登陸到應用程序.這樣設置之后你可以關閉瀏覽器,但是不要點擊注銷按鈕.有時候你會發(fā)現(xiàn)打開的瀏覽器不是IE,而是Appscan瀏覽器.你可以改變通過設置來改變這個.ToolsOptions Advanced,設置OpenIEBrower的值0Appscan瀏覽器,1IE,2Firefox,3Chrome.如果該網(wǎng)站的行為在不同的瀏覽器下有所不同,這個設置將是非常有用的。提示:提
6、示:每次注銷之后,Appscan會提示你登陸到應用程序中.如果你打算整個掃描你的系統(tǒng),你可以選擇這個選項.自動:自動:在這里你可以直接指定用戶名和密碼,當你需要登陸到應用程序的時候.AppScanAppScan掃描掃描11AppScanAppScan掃描掃描測試策略:測試策略:選擇最適合你需求的策略12AppScanAppScan掃描掃描最后一步,選擇啟動方式之后,完成即配置完畢。最后一步,選擇啟動方式之后,完成即配置完畢。啟動全面自動掃描:啟動全面自動掃描:啟動應用程序的全面掃描(“探索”后將立即進行“測試”)。使用僅自動使用僅自動“ “探索探索” ”來啟動:來啟動:探索應用程序,但不繼續(xù)“
7、測試”階段。(可以稍后運行“測試”階段)。使用手動探索來啟動:使用手動探索來啟動:瀏覽器將打開,并且您可以通過單擊鏈接并填寫字段來手動探索站點。AppScan 將記錄結果,以便在“測試”階段使用。我將稍后啟動掃描我將稍后啟動掃描:關閉向導,不啟動掃描。下次啟動掃描時,會使用該模板。13分析掃描結果分析掃描結果掃描結果:掃描結果:14分析掃描結果分析掃描結果分析掃描結果:分析掃描結果:以SQL盲注為例,先看 請求/響應 項中的測試數(shù)據(jù)信息,返回數(shù)據(jù)中是否有明確的提示信息,例如“您發(fā)送請求的參數(shù)中含有非法字符”,若沒有,則需要進一步進行驗證是否注入成功,這時我們需要用SQLMAP進行驗證。15驗證掃描結果驗證掃描結果SQLMAPSQLMAP驗證方法:驗證方法:sqlmap.py -u “參數(shù)1” -cookie “參數(shù)2” -data “參數(shù)3 -f -banner -dbs -users -v 416驗證掃描驗證掃描結果結果17驗證掃描結果驗證掃描結果18驗證掃描結果驗證掃描結果注入失敗的SQLMAP
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
- 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 教育心理學視角下的遠程教育課程設計
- 智慧城市公共服務中的信息服務平臺建設
- 共情教育塑造孩子情感智商的必由之路
- 智慧辦公樓宇的水資源管理與節(jié)能創(chuàng)新
- 醫(yī)學倫理與心理關懷的結合
- BJ-13-生命科學試劑-MCE
- 2024年天津市河北區(qū)九上化學期末聯(lián)考試題含解析
- 石家莊財經職業(yè)學院《攝影攝像基礎》2023-2024學年第一學期期末試卷
- 新疆博樂市第九中學2025屆九年級化學第一學期期末質量跟蹤監(jiān)視模擬試題含解析
- 湖北鐵道運輸職業(yè)學院《西方史學史》2023-2024學年第一學期期末試卷
- JJG 4-2015鋼卷尺行業(yè)標準
- H3C全系列產品visio圖標庫
- 區(qū)塊鏈挖礦周期與收益分析
- 2024年人類對外星生命的深入探索
- 造謠法律聲明書范本
- (完整word版)高中英語3500詞匯表
- 輸變電工程檔案管理歸檔要求
- SYB創(chuàng)業(yè)培訓游戲模塊2課件
- 獸醫(yī)傳染病學(山東聯(lián)盟)智慧樹知到答案章節(jié)測試2023年青島農業(yè)大學
- 腸系膜脈管系統(tǒng)腫瘤的診斷
- GB/T 35273-2020信息安全技術個人信息安全規(guī)范
評論
0/150
提交評論