1、AppScan是什么?
AppScan是IBM的一款web安全扫描工具,可以利用爬虫技术进行网站安全渗透测试,根据网站入口自动对网页链接进行安全扫描,扫描之后会提供扫描报告和修复建议等。
AppScan有自己的用例库,版本越新用例库越全(用例库越全面,对漏洞的检测较全面,被测试系统的安全性则越高)
工作原理:
1)通过探索了解整个web页面结果
2)通过分析,使用扫描规则库对修改的HTTP Request进行攻击尝试
3)分析 Response 来验证是否存在安全漏洞

2、使用AppScan的步骤
1)打开AppScan扫描工具

2)点击【创建新的扫描】,选择【常规扫描】,会显示【扫描配置向导】弹框

3)点击【完全扫描配置】到扫描配置页面,AppScan支持web service项目的安全检测,但是需要先按照GSC

4)扫描配置-URL和服务器:起始URL输入我们要扫描网站的地址,如果网站还包含其他域名,则在其他服务器和域进行添加

5)扫描配置-登录管理:扫描的网站不需要登录则登录方法选择无即可;

若需要登录,则点击【记录】,默认使用appscan浏览器打开网站,输入账号密码登录成功后,登录序列就会被记录。

登录且记录成功后,点击 标签 ”详细信息“ 可以查看到对于的操作和请求

6)扫描配置-环境定义:如果知道系统使用的环境可以自己定义,不知道则使用默认。

7)扫描配置-排除路径和文件:对一些不需要的网址、图片、文件或者会影响扫描的网址做一个过滤操作。(可能会提高扫描速度和效率)

8)扫描配置-探索选项(冗余路径和深度路径可以进行适当的设置,其他选项可选择进行设置或者全部使用默认)

9)扫描配置-参数和cookie、自动表单填充、错误页面、多操作步骤、基于内容的结果:可使用默认配置(如有需要可进行配置)

10)扫描配置-Glass box:对系统安全性要求比较高可以进行配置(配置后扫描更准确,可能扫描出来的安全性问题较多)

11)扫描配置-通信和代理:可以配置线程数

12)扫描配置-测试策略和测试选项:可根据具体需要进行配置,不清楚直接选择缺省值即可。

13)扫描配置-其他选项:可根据需要进行配置,或者直接默认即可。以上选项设置完成后可保存为模板,下次可直接使用。

14)配置完成后,返回到配置向导主页,一直点击【下一步】到完成配置向导,即可进入扫描。

4、appscan扫描分三类:完全扫描、仅探索、仅测试。
1)完全扫描:探索+测试一起(适用于需要扫描的页面和元素较少的情况)
2)先探索、后测试:扫描的页面和元素较多的情况
3)探索:扫描出整个系统的基本结构和页面
4)测试:根据配置的信息,比如测试策略等对页面中的元素进行测试

5、通过【手动探索】获取需要扫描的指定页面
1)在打开的页面中点击需要测试的页面,完成后,点击【暂停记录】按钮后关闭页面,会弹出手动探索序列对话框(包含手动点击页面的URL链接)

6、扫描结果分析:报告和扫描日志

7、查看扫描结果

8、使用Appscan扫描建议:如果扫描的系统元素较多,需要合理配置扫描信息,否则可能导致扫描的时间过长,扫描效率过低。
————————————————
版权声明:本文为CSDN博主「学习那点事儿」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/u010013191/article/details/80733170

IBM Security App Scan Standard 工具的使用的更多相关文章

  1. AppScan--图解Web扫描工具IBM Security App Scan Standard

    App Scan用法:   首先打开IBM Security AppScan Standard 工具   点击 创建新的扫描 ->  点击”常规扫描“ ->之后你就会看到如下图:     ...

  2. IBM Security App Scan 资料整理

    转自:http://blog.csdn.net/u013147600/article/details/50002089 这是学习和使用IBM AppScan过程中总结整理的一些资料.   扫描系统操作 ...

  3. IBM Security AppScan Standard WEB扫描工具

    IBM Security AppScan Standard是一款著名的web漏洞扫描工具, 可以设定登录账户,录制登录 扫描完成后可以生成报告,生成的报告非常详细

  4. 一个适合.NET Core的代码安全分析工具 - Security Code Scan

    本文主要翻译自Security Code Scan的官方Github文档,结合自己的初步使用简单介绍一下这款工具,大家可以结合自己团队的情况参考使用.此外,对.NET Core开发团队来说,可以参考张 ...

  5. NET Core的代码安全分析工具 - Security Code Scan

    NET Core的代码安全分析工具 - Security Code Scan https://www.cnblogs.com/edisonchou/p/edc_security_code_scan_s ...

  6. IBM Security AppScan Glass Box:一种全新的漏洞扫描思想

    IBM Security AppScan Glass Box:一种全新的漏洞扫描思想 Glass Box 是 IBM Security AppScan Standard Edition(以下简称 Ap ...

  7. 10款无需编程的App DIY开发工具

    10款无需编程的App DIY开发工具 你有一个很棒的创意但不会编程怎么办?外包.合伙开发还是从零学编程?这里提供另外一种方式--使用无需编程的App  DIY开发工具.DIY开发工具不仅节省了开发时 ...

  8. wemall doraemon中Android app商城系统工具集合类,包含各种程序中用到的静态方法

    wemall doraemon中Android app商城系统工具集合类,包含各种程序中用到的静态方法,可用于其他商城或者系统的编程参考 package cn.zzu.edu.wemall.utils ...

  9. Delphi 开发手机 App 与其他工具之间的比较分析

    写在前头 关于各种手机App开发的工具,从2010年前后到现在已经在很多不同的场合介绍过,在元智大学.中台科技大学.德霖科技大学等不同学校的讲座.课程当中,都有类似的主题,所以对我来说,这个主题属于驾 ...

随机推荐

  1. MyEclipse img显示问题

    MyEclipse第一个例子,通过HTML的img显示图片,费两天的功夫,故作简单整理,图片2不显示根本原因还是src的路径不对. 选中project中的sr.jpg文件,运行查看浏览器显示的地址,此 ...

  2. Codeforces Round #503 (by SIS, Div. 2) E. Sergey's problem

    E. Sergey's problem [题目描述] 给出一个n个点m条边的有向图,需要找到一个集合使得1.集合中的各点之间无无边相连2.集合外的点到集合内的点的最小距离小于等于2. [算法] 官方题 ...

  3. TScreen研究(有待研究)

    先扔在这里,待研究: http://blog.csdn.net/lailai186/article/details/8141170 procedure TForm1.Button1Click(Send ...

  4. sqlserver 创建 aspstate的方法

    找到路径 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727 不同版本找不同版本的路径 在命令行执行命令 aspnet_regsql.exe -ssadd -s ...

  5. Laravel 学习笔记之数据库操作——Eloquent ORM

    1. 时间戳 默认情况下在使用ORM操作数据库进行添加.修改数据时, created_at 和 updated_at列会自动存在于数据表中,并显示的是 ‘2017’格式,如果想以 Unix时间戳格式存 ...

  6. LabWindows/CVI 下载

    LabWindows/CVI 是National Instruments 公司(美国国家仪器公司,简称NI 公司)推出的交互式C 语言开发平台.LabWindows/CVI 将功能强大.使用灵活的C ...

  7. C#基础知识之Ref Out Params 4种类型的参数

    一.按值传递参数 值参数是通过将实参的值复制到形参,来实现按值传递到方法,也就是我们通常说的按值传递. 方法被调用时,CLR做如下操作: 1.在托管栈中为形参分配空间: 2.将实参的值复制到形参. 这 ...

  8. php内置函数分析array_diff()

    PHP_FUNCTION(array_diff) { zval *args; int argc, i; uint32_t num; HashTable exclude; zval *value; ze ...

  9. Java开发神器——MyEclipse CI 2019.4.0 全新发布(附下载)

    MyEclipse线上特惠,在线立享专属折扣!火热开启中>> MyEclipse 2019的升级版本中,推出对Java 11的支持.性能改进及新的连接器等. [MyEclipse CI 2 ...

  10. Java 内存结构之虚拟机栈

    2.虚拟机栈 定义:虚拟机栈(Java Virtual Machine Stacks)就是每个线程运行需要的内存空间,栈由一个一个的栈帧(Frame)组成,栈帧就是每个方法运行时需要的内存(方法的参数 ...