APPScan-简单操作流程

 

注意:

 

这种自动扫描器会发送数据到服务器,有可能在扫描过程中让服务器超过负荷,所以它可能会删除服务器上的数据,添加新记录甚至让服务器崩溃.因此扫描之前最好备份所有的数据.最好线下测试即可。

 

已经运营的项目一定要在线下测试!

 

1.进行该扫描请保证系统性能良好,因为扫描过程中扫描工具会向服务器发送几十万甚至上百万的请求,如果服务器性能较差可能会宕机。

 

2.小网站不建议选择自动安全扫描,因为自动扫描可能会因为系统页面的耦合性关系导致爬虫找不到一些页面,所以建议采用手动探索,大网站可以采用完全自动扫描。

 

图解安全扫描工具 AppScan使用 

 

IBM Rational AppScan 是一个面向 Web 应用安全检测的自动化工具,使用它可以自动化检测 Web 应用的安全漏洞。

比如跨站点脚本攻击(Cross Site Scripting Flaws)、注入式攻击(Injection Flaws)、失效的访问控制(Broken Access Control)、缓存溢出问题(Buffer Overflows)等等。

这些安全漏洞大多包括在 OWASP(Open Web Application Security Project,开放式 Web 应用程序安全项目)所公布的 Web 应用安全漏洞中。

 
 

1/8

打开AppScan软件,点击工具栏上的 文件–> 新建,点击 “Regular Scan”,出现扫描配置向导页面,这里是选择“Web应用程序扫描,如下图所示:

 

 

 

 
 

2/8

点击”下一步“,出现URL和服务器的配置页面,如图,输入需要测试的URL

特别说明:

在“起始URL”下面输入需要启动扫描的URL,如果勾选了“仅扫描此目录中或目录下的链接”(如下图),则会只扫描起始URL目录或者子目录中的链接。

举例:如果我们的网站www.sina.com.cn下面有两个目录test1和test2,当起始URL中输入"http://www.sina.com.cn/test1/"并勾选“仅扫描此目录中或目录下的链接”的时候,appscan不会扫描“www.sina.com.cn/test2”目录下的所有链接。

另外,如果被扫描对象的主机是unix或者linux,建议勾选下面的“将所有路径作为区分大小写来处理(Unix、Linux等)(T)”选项(如下图),因为unix或者linux是对大小写敏感的;如果被扫描对象的主机是windows主机,则没有必要勾选此项。

如果扫描的时候需要顺便扫描其它的服务器或者域,则需要在底下的“其它服务器和域”中添加对应的路径,如下图所示:

 
 

 

 
 

3/8

点击”下一步“,出现登录管理的页面,这是因为对于大部分网站,需要用户名和密码登录进去才可以查看许多内容,未登录的情况下就只可以访问部分页面。

最常用的登录方法有两种:记录和自动,如下图所示:

 

 

 
 

4/8

点击”下一步“,出现测试策略的页面,可以根据不同的测试需求进行选择,这里选择的是”完成(Complete)“,即进行全面的测试

如果需要在登录注销页面上进行攻击测试,则需要勾选“发送登录和注销页面上的测试”两个勾选框(如下图),然后点击下一步,如下图所示:

 

 

 
 

5/8

点击”下一步“,出现完成配置向导的界面,这里使用默认配置,可根据需求更改,如下图所示:

 

 

 

 
 

6/8

点击”完成“,设置保存路径,即开始扫描,如下图所示:

 

 

 
 

7/8

待扫描专家分析完毕,点击”扫描 –> 继续完全扫描“即可

 
 
 

8/8

等待测试完毕,即可分析结果

 
 
 
 
 https://jingyan.baidu.com/album/fa4125ac02e5dd28ad70925d.html
 
posted @ 2019-05-22 17:12  那个谁呢  阅读(8009)  评论(0编辑  收藏  举报