WEB安全漏洞扫描与处理(上)——安全漏洞扫描工具AppScan的安装使用
很多公司对软件会有安全的要求,一般测试公司会使用安全漏洞扫描工具对软件进行漏扫,然后给出安全报告,然后软件开发人员会根据提供的安全报告进行漏洞的处理。我们接触到的测评公司,使用的是漏洞扫描工具AppScan,这里介绍一下AppScan的安装使用,以及安全报告的生成。
1漏扫工具AppScan的下载和安装
1.1 AppScan的下载
利用百度搜索Appscan,可以找到对应的资源,下载后,一般是压缩文件,大概500M左右,现在的版本是10.0,旧一些的版本9.0也可以,文件大小差不多。文件解压后,有一个安装文件,还有资料。以10.0.0版本为例,安装文件为AppScan_Setup_10.0.0.exe,文件在文件夹AppScanStdCrk中。

打开AppScanStdCrk之后,里面有文件,AppScanStandard.txt和rcl_rational.dll。

1.2 AppScan的安装
以管理员权限运行AppScan_Setup_10.0.0.exe,进行默认安装,通过一直点击下一步,可以完成安装。
安装后进行软件的操作。
将rcl_rational.dll复制保存到软件的安装目录C:\Program Files (x86)\HCL\AppScan Standard中。
然后打开软件,选择帮助—许可证,点击下方的切换到IBM许可证,在新弹出的页面点击“打开AppScan License Manager”,然后在弹出的页面点击右上方的许可证配置,点击+号,
选择文件AppScanStandard.txt,导入文件,导入成功后确定。

通过替换文件,以及导入文本,软件安装成功,软件信息如下所示。

2 AppScan的漏洞扫描过程
利用工具AppScan进行漏扫,可以自动化的对某个网站进行漏洞扫描。
比如对某个网站进行漏扫,首先点击文件—新建,选择扫描Web应用程序,然后会出现扫描配置向导。第一步确认起始URL,在文本输入栏输入要扫描的网址或网站IP,点击下一步。

第二步是进行登录管理的设置。可以选择默认的记录方式登录到应用程序,点击记录,选择chrome(比较常用),进行登录操作,这时候工具会记录下来登录信息。然后点击下一步。

第三步进行测试策略的选择,上方有测试策略的选择框,下方左侧是策略的列表,下方右侧是对测试策略的说明。

第四步是测试优化的选择。

最后一步是选择启动扫描的方式,默认是启动全面自动扫描,点击完成后,工具开始漏洞扫描。也可以选择“我将稍后启动扫描”,进行策略配置后,再进行扫描工作。

启动扫描后,等待扫描任务完成。
3安全报告的生成
扫描完成之后,会在软件的页面显示相应的扫描结果信息,可以通过点击对应的信息点直接查看漏洞情况。

也可以生成pdf格式的安全报告,提交给相应的人员,以便进一步的处理。点击菜单下面的工具栏的报告。

在创建报告的页面选择安全性,然后可以选择一个模板,右侧会显示模板中包含的内容,选择详细模板,基本上会包含绝大部分内容,也可以直接在右侧勾选内容。

选择完成后,点击保存报告,则会生成pdf安全报告。
4 结语
该部分主要对AppScan的安装、漏洞扫描以及报告生成进行了说明,是一个简易的操作描述,如果对漏洞扫描有特别要求,还需要进行测试策略的详细配置,在配置工具栏,可以看到详细的策略配置信息,后续还要介绍安全测试报告的分析,以及对应漏洞的处理。
WEB安全漏洞扫描与处理(上)——安全漏洞扫描工具AppScan的安装使用的更多相关文章
- WordPress Checkout插件跨站脚本漏洞和任意文件上传漏洞
漏洞名称: WordPress Checkout插件跨站脚本漏洞和任意文件上传漏洞 CNNVD编号: CNNVD-201311-015 发布时间: 2013-11-04 更新时间: 2013-11-0 ...
- [转帖]【rinetd】CentOS7.x上轻量级TCP转发工具rinetd的安装配置
[rinetd]CentOS7.x上轻量级TCP转发工具rinetd的安装配置 https://www.jianshu.com/p/2605d247b944 这一个写的更加全面了. 2019.07.0 ...
- web服务端安全之文件上传漏洞
一.文件上传漏洞的原理 由于程序代码未对用户提交的文件进行严格的分析和检查,导致攻击者可以上传可执行的代码文件,从而获取web应用的控制权限. 常见于上传功能,富文本编辑器. 二.文件上传漏洞的防御 ...
- CentOS7.x上轻量级TCP转发工具rinetd的安装配置
一.实验背景 Linux下端口转发一般都使用iptables来实现,使用iptables可以很容易将TCP和UDP端口从防火墙转发到内部主机上. 如果需要将流量从专用地址转发到不在您当前网络上的机器上 ...
- Web应用安全之文件上传漏洞详解
什么是文件上传漏洞 文件上传漏洞是在用户上传了一个可执行的脚本文件,本通过此脚本文件获得了执行服务器端命令的功能,这种攻击方式是最为直接,最为有效的,有时候,几乎没有什么门槛,也就是任何人都可以进行这 ...
- WEB安全:文件上传漏洞
文件上传漏洞过程 用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力. 一般的情况有: 上传文件WEB脚本语言,服务器的WEB容器解释并执行了用户上传的脚本,导致代码执行: ...
- 风炫安全web安全学习第三十六节课-15种上传漏洞讲解(一)
风炫安全web安全学习第三十六节课 15种上传漏洞讲解(一) 文件上传漏洞 0x01 漏洞描述和原理 文件上传漏洞可以说是日常渗透测试用得最多的一个漏洞,因为用它获得服务器权限最快最直接.但是想真正把 ...
- WEB安全性测试之文件上传漏洞
1.漏洞描述:文件上传漏洞,是指可以利用WEB上传一些特定的文件包含特定代码如(<?php phpnfo;?> 可以用于读取服务器配置信息.上传成功后可以点击) 上传漏洞是指用户上传了一个 ...
- ASP代码审计学习笔记 -3.上传漏洞
1.ASP上传过程抓包分析: POST /4.asp HTTP/1.1 Host: 192.168.1.102 User-Agent: Mozilla/5.0 (Windows NT 10.0; WO ...
随机推荐
- 3D教育类小图标_三维立体学习类icon图标素材
3D教育类小图标_三维立体学习类icon图标素材
- 名称空间 反向解析 reverse
- 重新整理 .net core 实践篇————依赖注入应用[二]
前言 这里介绍一下.net core的依赖注入框架,其中其代码原理在我的另一个整理<<重新整理 1400篇>>中已经写了,故而专门整理应用这一块. 以下只是个人整理,如有问题, ...
- HTML中的全局属性
一.全局属性和局部属性 每种元素都有自己规定的属性,这种属性成为局部属性.还有另外一种属性,他可以用来配置所有元素的共有行为,这种属性成为称为全局属性.全局属性可以用在任何一个元素身上,但是不一定会带 ...
- Prometheus存储原理及数据备份还原
prometheus将采集到的样本以时间序列的方式保存在内存(TSDB 时序数据库)中,并定时保存到硬盘中.与zabbix不同,zabbix会保存所有的数据,而prometheus本地存储会保存15天 ...
- MyBatis 高级查询环境准备(八)
MyBatis 高级查询 之前在学习 Mapper XML 映射文件时,说到 resultMap 标记是 MyBatis 中最重要最强大也是最复杂的标记,而且还提到后面会详细介绍它的高级用法. 听到高 ...
- 3.21-22 od、tee
3.21 od:按不同进制显示文件 od命令用于输出文件的八进制.十六进制或者其他格式编码的字节,通常用于显示或查看文件中不能直接显示在终端的字符. -A 地址进制 按指定的进制 ...
- python split方法
split方法说明: split方法通过指定分隔符对字符串进行切片,如果参数num有指定值,则分隔num+1个子字符串 split()方法语法: 1 str.split(str="&qu ...
- Go语言流程控制03--goto跳转到任意标签位置
package main import ( "fmt" "time" ) func main() { STUDYHARD: fmt.Println(" ...
- 5G通讯与芯片
5G通讯与芯片 美国商务部可能接近达成一项新的规则,允许美国公司与华为重启谈判,在共同制定下一代通信技术5G标准方面进行合作. 华为美国首席安全官安迪·珀迪(Andy Purdy)向第一财经记者独家回 ...