Appscan 介绍

地球胖头鱼 2020-10-14
Web安全 发布于 2020-10-14 10:20:03 阅读 57 评论 0

Appscan介绍

簡介

AppScan是IBM公司出的一款Web应用安全测试工具,采用黑盒测试的方式,可以扫描常见的web应用安全漏洞。
其工作原理,首先是根据起始页爬取站下所有可见的页面,同时测试常见的管理后台;获得所有页面之后利用SQL注入原理进行测试是否存在注入点以及跨站脚本攻击的可能;同时还会对cookie管理、会话周期等常见的web安全漏洞进行检测。
AppScan功能十分齐全,支持登录功能并且拥有十分强大的报表。在扫描结果中,不仅能够看到扫描的漏洞,还提供了详尽的漏洞原理、修改建议、手动验证等功能。
AppScan的缺点在于,作为一款商业软件,价格十分昂贵。

安装

  1. 下载好压缩包后解压会有两个文件一个是AppScan_Std_9.0.3.6_Eval_Win.exe这个是程序的主安装程序,LicenseProvider.dll是替换文件,双击主安装程序开始安装。

  1. 选择语言

  1. 应为系统中没有.NET Framework 4.6.2 Wbe这个组件,这里会提示安装,安装过程如下

点击安装

  1. 选择我已阅读并接受许可条款,并点击安装。

正在安装.NET,等待即可

  1. .NET 4.6.2安装完毕,点击完成。

  1. 现在正在解压AppScan 9.0.3.6

  1. 在安装界面中,选择我接受许可协议中的全部条款,并点击下一步进行安装。

  1. AppScan默认安装在C盘,但是我建议还是不要安装在C盘,安装建议安装在D盘否则会影响系统速度。

  2. 安装程序功能,等待几分钟静静的等待。

  1. 安装完成后点击完成,这个安装就结束了。

替换

  1. 找到桌面上的AppScan图标,先不要打开。

  1. 点击鼠标右键选着属性,在属性中选择打开文件位置,接下来将下载下来的LicenseProvider.dll文件,复制到弹出来的安装目录下。

  1. 选择替换功能,将之前的LicenseProvider.dll文件替换掉。

  1. 安装完成,现在大家就可以使用AppScan 9.0.3.6的全部功能了。注意:替换后运行软件还显示演示许可证,但是扫描目标已不受限制.

软件功能

AppScan Standard 采用三种彼此互补和增强的不同测试方法:

  • 动态分析(“黑盒扫描”)这是主要方法,用于测试和评估运行时的应用程序响应。

  • 静态分析(“白盒扫描”)这是用于在完整 Web 页面上下文中分析 JavaScript 代码的独特技术。

  • 交互分析(“glass box 扫描”)动态测试引擎可与驻留在 Web 服务器本身上的专用 glass-box 代理程序交互,从而使 AppScan 能够比仅通过传统动态测试时识别更多问题并具有更高准确性。

AppScan 的高级功能包括:

  • 常规和法规一致性报告,并提供超过 40 个不同的开箱即用模板

  • 通过 AppScan eXtension Framework 或通过使用 AppScan SDK 直接集成到现有系统内来实现的定制和可扩展性

  • 链接分类功能,超越应用程序安全性以确认由指向恶意或其他不需要的站点的链接向用户带来的风险

  • AppScan Standard 可帮助您在站点部署之前并且为生产阶段的进行中风险评估来降低 Web 应用程序攻击和数据违规的风险。

软件特色

“AppScan® 全面扫描”包含两个阶段:探索和测试。 尽管扫描过程的绝大部分对于用户来说实际上是无缝的,并且直到扫描完成几乎不需要用户输入,但理解其后的原则仍然很有帮助。

探索阶段

在第一个阶段中,AppScan 通过模拟 Web 用户单击链接和填写表单字段来探索站点(Web 应用程序或 Web 服务)。这就是“探索”阶段。

AppScan 将分析它所发送的每个请求的响应,查找潜在漏洞的任何指示信息。 AppScan 接收到可能指示有安全漏洞的响应时,它将自动基于响应创建测试,并通知所需验证规则,同时考虑在确定哪些结果构成漏洞以及所涉及到安全风险的级别时所需的验证规则。

在发送所创建的特定于站点的测试之前,AppScan 将向应用程序发送若干格式不正确的请求,以确定其生成错误响应的方式。 之后,此信息将用于增加 AppScan 的自动测试验证过程的精确性。

测试阶段

在第二个阶段,AppScan 将发送它在探索阶段创建的数千个定制测试请求。 它使用定制验证规则记录和分析应用程序对每个测试的响应。 这些规则既可识别应用程序内的安全问题,又可排列其安全风险级别。

无 Web 服务的站点

如果是没有 Web 服务的站点,那么为 AppScan 提供起始 URL 和登录认证凭证可能足以使其能够测试站点。如果有需求我们还可以通过AppScan手动搜索站点,用来访问特定用户输入才能到达的区域。

Web 服务

为了能够有效扫描 Web Service,AppScan 安装包含一项工具,用户通过它可查看 Web 服务中整合的各种方法,处理输入数据以及检查来自服务的反馈。

您首先需要为 AppScan 提供服务的 URL。 集成的“通用服务客户机 (GSC)”使用服务的 WSDL 文件以树格式显示可用的单独方法,并且会创建用于向服务发送请求的用户友好 GUI。您可以使用此界面输入参数和查看结果。此过程由 AppScan 进行“记录”,并且用于在 AppScan 扫描站点时创建针对服务的测试。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!
地球胖头鱼
未填写
  • 作者发布文章79
  • 作者收获粉丝1
  • 作者收到点赞0
  • 所有文章被收藏了0
  • 博客总访问量排行第5
  • 博客总访问量5036(每日更新)
查看所有博文