公司新闻


使用Appscan进行安全测试

Appscan是IBM出品的一个安全测试软件,采用黑盒测试的方式,可以扫描常见的web应用安全漏洞。其工作原理,首先是根据起始页爬取站下所有可见的页面,同时测试常见的管理后台;获得所有页面之后利用SQL注入原理进行测试是否存在注入点以及跨站脚本攻击的可能;同时还会对cookie管理、会话周期等常见的web安全漏洞进行检测。AppScan功能十分齐全,支持登录功能并且拥有十分强大的报表。在扫描结果中,不仅能够看到扫描的漏洞,还提供了详尽的漏洞原理、修改建议、手动验证等功能。AppScan的缺点在于,作为一款商业软件,价格十分昂贵。

所以,附:

根据二○○二年一月一日《计算机软件保护条例》规定:为了学习和研究软件内含的

设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经

软件著作权人许可,不向其支付报酬!

鉴于此,也希望大家按此说明研究软件!谢谢

 

安装

下载直接安装Appscan,


确保安装了.net framwork和Adobe flash来执行扫描过程中的Flash内容。


没有安装.net framwork的话默认会下载,如果下载不了请翻墙!


安装完后进入安装目录替换LicenseProvider.dll




注意:这种自动扫描器会发送数据到服务器,有可能在扫描过程中让服务器超过负荷,所以它可能会删除服务器上的数据,添加新记录甚至让服务器崩溃.因此扫描之前最好备份所有的数据.最好线下测试即可。


已经运营的项目一定要在线下测试!


已经运营的项目一定要在线下测试!


已经运营的项目一定要在线下测试!


功能

1.通过探索(爬行)发现整个Web应用结构(找出所有可用的链接)


2.根据分析,发送修改的HTTP Request进行攻击尝试(攻击寻找应用程序漏洞)


3.通过对于Response的分析验证是否存在安全漏洞


 AppScan 的扫描 分三类:完全扫描 、仅探索、仅测试

 

如果系统需要扫描的页面或是元素较少 可以直接选中 完全扫描(其实就是探索和测试一条龙服务)

 

如果页面需要扫描的页面和元素比较多时,可以分开来,先探索,探索完成后再进行测试。目的是了解被测的网站结构,评估范围。探索也就是 扫描出整个系统的基本结构和页面。

 

测试 就是根据你所配置的信息 如测试策略、深度等等 对页面中的元素进行测试 从而得出安全性问题。只对前面探索过的页面进行测试,不对新发现的页面进行测试

 

如果只是对系统中某个模板进行 扫描的话,可以 通过 ”手动探索“ 获取需要扫描的指定页面

 

理解了这个地方,就理解了AppScan的工作原理,我们慢慢展开


在使用AppScan的时候,要配置的第一个就是要检查的网站的地址,配置了以后,AppScan就会利用“探索”技术去发现这个网站存在多少个目录,多少个页面,页面中有哪些参数等,简单说,了解了你的网站的结构。


“探索”了解了,测试的目标和范围就大致确定了,然后呢,利用“军火库”,发送导弹,进行安全攻击,这个过程就是“测试”;针对发现的每个页面的每个参数,进行安全检查,检查的弹药就来自AppScan的扫描规则库,其类似杀毒软件的病毒库,具体可以检查的安全攻击类型都在里面做好了,我们去使用即可。


那么什么是“完全测试呢”,完全测试就是把上面的两个步骤整合起来,


使用

我们按照PDCA的方法论来进行规划和讨论; 建议的AppScan使用步骤:PDCA: Plan,Do,check, Action and Analysis.


计划阶段:明确目的,进行策略性的选择和任务分解。


1)  明确目的:选择合适的扫描策略


2)  了解对象:首先进行探索,了解网站结构和规模


3)  确定策略:进行对应的配置


a)   按照目录进行扫描任务的分解


b)   按照扫描策略进行扫描任务的分解


 


执行阶段:一边扫描一遍观察


4)  进行扫描


5)  先爬后扫(继续仅测试)


 


检查阶段(Check)


6)  检查和调整配置


 


结果分析(Analysis)


7)  对比结果


8)  汇总结果(整合和过滤)


 


详细使用方法

由于Appscan测试时间很长,好像是一个元素测试200次,建议先探索部分,然后仅测试,分析漏洞后再继续往下测试。


1.打开Appscan点击左上角文件-新建或者Ctrl+N创建扫描


2.选择常规扫描,进入配置向导。


3.选择Appscan(自动或手动)直接点击下一步,进入配置


4.点击”下一步“,出现URL和服务器的配置页面,如图,输入需要测试的URL。




5.点击”下一步“,出现登录管理的页面,这是因为对于大部分网站,需要用户名和密码登录进去才可以查看许多内容,未登录的情况下就只可以访问部分页面。没有验证码选记录或自动,有验证码选提示,不登录就选无




6.选择策略 完成


1)启动全面自动扫描:会自动探索URL,而且边探索边扫描页面。


2)仅使用自动“探索”启动:自动探索URL,不做扫描。


3)使用“手动探索”: 手动去访问页面,AppScan会自动记录你访问页面的url


4)我将稍后启动扫描:AppScan不做任何操作,需要自己手动去启动扫描。


扫一扫,反馈当前页面

咨询反馈
扫码关注

微信咨询

返回顶部