很多公司对软件会有安全的要求,一般测试公司会使用安全漏洞扫描工具对软件进行漏扫,然后给出安全报告,然后软件开发人员会根据提供的安全报告进行漏洞的处理。我们接触到的测评公司,使用的是漏洞扫描工具AppScan,这里介绍一下AppScan的安装使用,以及安全报告的生成。

1漏扫工具AppScan的下载和安装

1.1 AppScan的下载

利用百度搜索Appscan,可以找到对应的资源,下载后,一般是压缩文件,大概500M左右,现在的版本是10.0,旧一些的版本9.0也可以,文件大小差不多。文件解压后,有一个安装文件,还有资料。以10.0.0版本为例,安装文件为AppScan_Setup_10.0.0.exe,文件在文件夹AppScanStdCrk中。

打开AppScanStdCrk之后,里面有文件,AppScanStandard.txt和rcl_rational.dll。

1.2 AppScan的安装

以管理员权限运行AppScan_Setup_10.0.0.exe,进行默认安装,通过一直点击下一步,可以完成安装。

安装后进行软件的操作。

将rcl_rational.dll复制保存到软件的安装目录C:\Program Files (x86)\HCL\AppScan Standard中。

然后打开软件,选择帮助—许可证,点击下方的切换到IBM许可证,在新弹出的页面点击“打开AppScan License Manager”,然后在弹出的页面点击右上方的许可证配置,点击+号,

选择文件AppScanStandard.txt,导入文件,导入成功后确定。

通过替换文件,以及导入文本,软件安装成功,软件信息如下所示。

2 AppScan的漏洞扫描过程

利用工具AppScan进行漏扫,可以自动化的对某个网站进行漏洞扫描。

比如对某个网站进行漏扫,首先点击文件—新建,选择扫描Web应用程序,然后会出现扫描配置向导。第一步确认起始URL,在文本输入栏输入要扫描的网址或网站IP,点击下一步。

第二步是进行登录管理的设置。可以选择默认的记录方式登录到应用程序,点击记录,选择chrome(比较常用),进行登录操作,这时候工具会记录下来登录信息。然后点击下一步。

第三步进行测试策略的选择,上方有测试策略的选择框,下方左侧是策略的列表,下方右侧是对测试策略的说明。

第四步是测试优化的选择。

最后一步是选择启动扫描的方式,默认是启动全面自动扫描,点击完成后,工具开始漏洞扫描。也可以选择“我将稍后启动扫描”,进行策略配置后,再进行扫描工作。

启动扫描后,等待扫描任务完成。

3安全报告的生成

扫描完成之后,会在软件的页面显示相应的扫描结果信息,可以通过点击对应的信息点直接查看漏洞情况。

也可以生成pdf格式的安全报告,提交给相应的人员,以便进一步的处理。点击菜单下面的工具栏的报告。

在创建报告的页面选择安全性,然后可以选择一个模板,右侧会显示模板中包含的内容,选择详细模板,基本上会包含绝大部分内容,也可以直接在右侧勾选内容。

选择完成后,点击保存报告,则会生成pdf安全报告。

4 结语

该部分主要对AppScan的安装、漏洞扫描以及报告生成进行了说明,是一个简易的操作描述,如果对漏洞扫描有特别要求,还需要进行测试策略的详细配置,在配置工具栏,可以看到详细的策略配置信息,后续还要介绍安全测试报告的分析,以及对应漏洞的处理。

WEB安全漏洞扫描与处理(上)——安全漏洞扫描工具AppScan的安装使用的更多相关文章

  1. WordPress Checkout插件跨站脚本漏洞和任意文件上传漏洞

    漏洞名称: WordPress Checkout插件跨站脚本漏洞和任意文件上传漏洞 CNNVD编号: CNNVD-201311-015 发布时间: 2013-11-04 更新时间: 2013-11-0 ...

  2. [转帖]【rinetd】CentOS7.x上轻量级TCP转发工具rinetd的安装配置

    [rinetd]CentOS7.x上轻量级TCP转发工具rinetd的安装配置 https://www.jianshu.com/p/2605d247b944 这一个写的更加全面了. 2019.07.0 ...

  3. web服务端安全之文件上传漏洞

    一.文件上传漏洞的原理 由于程序代码未对用户提交的文件进行严格的分析和检查,导致攻击者可以上传可执行的代码文件,从而获取web应用的控制权限. 常见于上传功能,富文本编辑器. 二.文件上传漏洞的防御 ...

  4. CentOS7.x上轻量级TCP转发工具rinetd的安装配置

    一.实验背景 Linux下端口转发一般都使用iptables来实现,使用iptables可以很容易将TCP和UDP端口从防火墙转发到内部主机上. 如果需要将流量从专用地址转发到不在您当前网络上的机器上 ...

  5. Web应用安全之文件上传漏洞详解

    什么是文件上传漏洞 文件上传漏洞是在用户上传了一个可执行的脚本文件,本通过此脚本文件获得了执行服务器端命令的功能,这种攻击方式是最为直接,最为有效的,有时候,几乎没有什么门槛,也就是任何人都可以进行这 ...

  6. WEB安全:文件上传漏洞

    文件上传漏洞过程 用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力. 一般的情况有: 上传文件WEB脚本语言,服务器的WEB容器解释并执行了用户上传的脚本,导致代码执行: ...

  7. 风炫安全web安全学习第三十六节课-15种上传漏洞讲解(一)

    风炫安全web安全学习第三十六节课 15种上传漏洞讲解(一) 文件上传漏洞 0x01 漏洞描述和原理 文件上传漏洞可以说是日常渗透测试用得最多的一个漏洞,因为用它获得服务器权限最快最直接.但是想真正把 ...

  8. WEB安全性测试之文件上传漏洞

    1.漏洞描述:文件上传漏洞,是指可以利用WEB上传一些特定的文件包含特定代码如(<?php phpnfo;?> 可以用于读取服务器配置信息.上传成功后可以点击) 上传漏洞是指用户上传了一个 ...

  9. ASP代码审计学习笔记 -3.上传漏洞

    1.ASP上传过程抓包分析: POST /4.asp HTTP/1.1 Host: 192.168.1.102 User-Agent: Mozilla/5.0 (Windows NT 10.0; WO ...

随机推荐

  1. 3D教育类小图标_三维立体学习类icon图标素材

    3D教育类小图标_三维立体学习类icon图标素材

  2. 名称空间 反向解析 reverse

  3. 重新整理 .net core 实践篇————依赖注入应用[二]

    前言 这里介绍一下.net core的依赖注入框架,其中其代码原理在我的另一个整理<<重新整理 1400篇>>中已经写了,故而专门整理应用这一块. 以下只是个人整理,如有问题, ...

  4. HTML中的全局属性

    一.全局属性和局部属性 每种元素都有自己规定的属性,这种属性成为局部属性.还有另外一种属性,他可以用来配置所有元素的共有行为,这种属性成为称为全局属性.全局属性可以用在任何一个元素身上,但是不一定会带 ...

  5. Prometheus存储原理及数据备份还原

    prometheus将采集到的样本以时间序列的方式保存在内存(TSDB 时序数据库)中,并定时保存到硬盘中.与zabbix不同,zabbix会保存所有的数据,而prometheus本地存储会保存15天 ...

  6. MyBatis 高级查询环境准备(八)

    MyBatis 高级查询 之前在学习 Mapper XML 映射文件时,说到 resultMap 标记是 MyBatis 中最重要最强大也是最复杂的标记,而且还提到后面会详细介绍它的高级用法. 听到高 ...

  7. 3.21-22 od、tee

    3.21 od:按不同进制显示文件       od命令用于输出文件的八进制.十六进制或者其他格式编码的字节,通常用于显示或查看文件中不能直接显示在终端的字符.   -A 地址进制    按指定的进制 ...

  8. python split方法

    split方法说明: split方法通过指定分隔符对字符串进行切片,如果参数num有指定值,则分隔num+1个子字符串   split()方法语法: 1 str.split(str="&qu ...

  9. Go语言流程控制03--goto跳转到任意标签位置

    package main import ( "fmt" "time" ) func main() { STUDYHARD: fmt.Println(" ...

  10. 5G通讯与芯片

    5G通讯与芯片 美国商务部可能接近达成一项新的规则,允许美国公司与华为重启谈判,在共同制定下一代通信技术5G标准方面进行合作. 华为美国首席安全官安迪·珀迪(Andy Purdy)向第一财经记者独家回 ...