appscan只要关注应用层的安全问题

一,appscan扫描
1,白盒扫描=静态扫描,扫描源代码。
2,动态扫描=黑盒扫描,用工具来模拟黑客的攻击,查看应用层的响应。产品内部会有大量受攻击的库,当我们把一个模拟攻击发给我们的应用的时候,然后用工具来分析响应。

二,AppScan Web应用扫描流程
 


三,自动网络探索能力优势



四,设置配置向导
测试网址:http://demo.testfire.net/bank/login.aspx
文件----->新建----->预定义模板(选择“常规扫描"为例)----->web应用程序扫描------>输入需要测试网址


 
点击"记录”
 


Username:jsmith
password:demo1234



然后关闭Altoro Mutual:Online Banking Longin-Appscan 浏览器,在扫描配置向导页面的“使用以下登录序列登录应用程序”框中会显示登录的会员登录成功后的网址信息,然后点击“下一步”


 
再点击下一步


点击完成


选择"是“自动保存


保存扫描结果



五,web services扫描
 


接口测试网址:http://demo.testfire.net/transfer/transfer.asmx?wsdl


在扫描配置向导中选择通用服务客户机
 

设置起始URL


默认测试策略web  Service


完成
 



显示通用服务窗口



输入用户id选择调用



转账接口数据的输入
 


方法调用




探索完成之后关闭Generic Sercice Client窗口,appscan就会对探索的结果进行分析扫描,
然后在扫描选项中选择仅测试


显示扫描结果




六、Glass Box Scanning-架构

 




打开wed应用扫描的文件,在工具菜单选项中选择Glass box代理程序管理-----玻璃盒代理



可以帮助用户发现隐藏的参数,页面



七、记录代理


posted on 2017-07-28 11:29  june☂  阅读(9033)  评论(1编辑  收藏  举报