1、AppScan 工具介绍
AppScan,全名:IBM Security AppScan Standard。其安装在 Windows 操作系统上,可以对网站等 Web 应用进行自动化的应用安全扫描和测试
AppScan 工作原理:
通过搜索(爬行)发现整个 Web 应用结构
根据分析,发送修改的 HTTP Request 进行攻击尝试(扫描规则库)
通过对于 Respone 的分析验证是否存在安全漏
AppScan 扫描原理:扫描规则库+爬行+测试
2、AppScan 工作原理
2.1 探索
探索:又叫爬行,爬网
2.2 测试
测试:针对找到的页面,生成测试,进行安全攻击
所以,简言之,AppScan 的核心是提供一个扫描规则库,然后利用自动化的“探索”技术得到众多的页面和页面参数,进而对这些页面和页面参数进行安全性测试。“扫描规则库”,“探索”,“测试”就构成了 AppScan 的核心三要素。而在安全扫描过程中,如何进行优化,就要结合这三个要素,看哪些部分需要优化,应该如何优化。
3、AppScan 安装
3.1 选择语言,点击确定
3.2 点击确定(我的会重启电脑)
3.3 选择接受,下一步
3.4 选择安装路径,点击安装
3.5 我选择:否
3.6 安装完成
3.7 打开应用程序,进行始初化
3.8 将LicenseProvider.dll在安装目录里面进行替换
4、AppScan 使用
4.1 打开appscan软件,点击“创建新的扫描…“-”常规扫描“
4.2 默认选择,下一步
4.3 输入URL 系统会自动检测连通性
4.4 输入系统帐号密码(如果需要扫描登录后的页面)
输入登录网站账号密码,如果不输入账号密码进入系统只能扫描到登录前的页面,扫描效果不大;因此尽可能输入账号密码(测试的账号密码也行)
4.5 点击:完全扫描配置
4.6 将侵入式修改为:非侵入式
4.7 下一步
4.8 完成