[渗透&安全]-AppScan-01

前言

  • 一个常规项目都会有相当多数量的接口,我们现在是不是需要进行每个接口的扫描,sql注入,针对前端做XSS攻击,针对cookie做csrf攻击吗?不必要!!接下来给请出我们今天的主角AppScan?
  • 注:漏扫已经是实质的攻击行为,请务必确保你的扫描动作是经过授权的,尤其不要尝试在非授权的情况下在互联网上扫描政府类网站,若是导致网站瘫痪或运行异常,均可能会被追究法律责任。

AppScan是什么?

  • AppScan是IBM的一款web安全扫描工具,可以利用爬虫技术进行网站安全渗透测试,根据网站入口自动对网页链接进行安全扫描,扫描之后会提供扫描报告和修复建议等。
  • AppScan有自己的用例库,版本越新用例库越全(用例库越全面,对漏洞的检测较全面,被测试系统的安全性则越高)

工作原理:

  • 通过探索了解整个web页面结果
  • 通过分析,使用扫描规则库对修改的HTTP Request进行攻击尝试
  • 分析 Response 来验证是否存在安全漏洞

Appscan安装

1.下载到文件之后,先解压,应该会得到一个文件夹和一个appscan的可执行程序

0

2.先打开可执行文件,右键以管理员身份运行,然后开始安装

0

3.安装后,先不要打开appscan,而是打开第一步得到的文件夹,用rcl_rational.dll替换安装目录下的对应文件。

0
0

4.打开软件,点击帮助-许可证-切换到IBM许可证,导入AppScanStandard.txt作为许可证。

0
  • 注意:证书的路径不能有中文不然会报以下错误
0
  • 路径正确后证书:
0
 
安装成功啦!!!!

posted on 2023-03-31 16:01  Titen  阅读(57)  评论(0编辑  收藏  举报

导航