Appscan结合项目的使用流程

2019-08-28  本文已影响0人  爱吃草的猫_4551

一. 概念

AppScan是什么:

AppScan是IBM的一款web安全扫描工具,可以利用爬虫技术进行网站安全渗透测试,根据网站入口自动对网页链接进行安全扫描,扫描之后会提供扫描报告和修复建议等。AppScan有自己的用例库,版本越新用例库越全(用例库越全面,对漏洞的检测较全面,被测试系统的安全性则越高)

Appscan工作原理:

(扫描规则库 + 爬行 + 测试)

1)通过探索了解整个web页面结果

2)通过分析,使用扫描规则库对修改的HTTP Request进行攻击尝试

3)分析 Response 来验证是否存在安全漏洞

二.APPScan使用步骤

1.扫描模板的选择:

2. 进入配置向导,选择“自动或手动”

3.输入起始URL,也可扫描其他的域名(输入项目入口地址以外的其他域名)。

4.登录管理-设置登录方法:

记录: 点击“记录”按钮,进行录制登录操作。

提示:扫描过程中输入用户名密码

自动:输入用户名和密码,扫描时会自动根据这个凭证登录应用程序。

无 : 不登录

5.选择测试策略:

测试策略说明:

①缺省值:包含多有测试,但不包含侵入式和端口侦听器

②仅应用程序:包含所有应用程序级别的测试,但不包含侵入式和端口侦听器

③仅基础结构:包含所有基础结构级别的测试,但不包含侵入式和端口侦听器

④侵入式:包含所有侵入式测试(可能影响服务器稳定性的测试)

⑤完成:包含所有的AppScan测试

⑥关键的少数:包含一些成功可能性较高的测试精选,在时间有限时对站点评估可能有用

⑦开发者精要:包含一些成功可能性极高的应用程序测试的精选,在时间有限时对站点评估可能有用

⑧Web Service:包含所有SOAP相关测试

6.勾选启动方式:

1)启动全面自动扫描:会自动探索URL,而且边探索边扫描页面。

2)仅使用自动“探索”启动:自动探索URL,不做扫描。

3)使用“手动探索”: 手动去访问页面,AppScan会自动记录你访问页面的url

4)我将稍后启动扫描:AppScan不做任何操作,需要自己手动去启动扫描。

7.进行扫描:

appscan扫描分类:

完全扫描、仅探索、仅测试。

1)完全扫描:探索+测试一起(适用于需要扫描的页面和元素较少的情况)

2)先探索、后测试:扫描的页面和元素较多的情况

3)探索:扫描出整个系统的基本结构和页面

4)测试:根据配置的信息,比如测试策略等对页面中的元素进行测试

然后选择“继续仅测试”,只对前面探索过的页面进行测试,不对新发现的页面进行测试。“完全测试”就是把两个步骤结合在一起,一边探索,一边测试。

8.报告的生成

9.查看扫描结果

上一篇下一篇

猜你喜欢

热点阅读