Appscan是IBM出品的一个安全测试软件,采用黑盒测试的方式,可以扫描常见的web应用安全漏洞。其工作原理,首先是根据起始页爬取站下所有可见的页面,同时测试常见的管理后台;获得所有页面之后利用SQL注入原理进行测试是否存在注入点以及跨站脚本攻击的可能;同时还会对cookie管理、会话周期等常见的web安全漏洞进行检测。AppScan功能十分齐全,支持登录功能并且拥有十分强大的报表。在扫描结果中,不仅能够看到扫描的漏洞,还提供了详尽的漏洞原理、修改建议、手动验证等功能。AppScan的缺点在于,作为一款商业软件,价格十分昂贵。
所以,附:
根据二○○二年一月一日《计算机软件保护条例》规定:为了学习和研究软件内含的
设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经
软件著作权人许可,不向其支付报酬!
鉴于此,也希望大家按此说明研究软件!谢谢
安装
下载直接安装Appscan,
确保安装了.net framwork和Adobe flash来执行扫描过程中的Flash内容。
没有安装.net framwork的话默认会下载,如果下载不了请翻墙!
安装完后进入安装目录替换LicenseProvider.dll
注意:这种自动扫描器会发送数据到服务器,有可能在扫描过程中让服务器超过负荷,所以它可能会删除服务器上的数据,添加新记录甚至让服务器崩溃.因此扫描之前最好备份所有的数据.最好线下测试即可。
已经运营的项目一定要在线下测试!
已经运营的项目一定要在线下测试!
已经运营的项目一定要在线下测试!
功能
1.通过探索(爬行)发现整个Web应用结构(找出所有可用的链接)
2.根据分析,发送修改的HTTP Request进行攻击尝试(攻击寻找应用程序漏洞)
3.通过对于Response的分析验证是否存在安全漏洞
AppScan 的扫描 分三类:完全扫描 、仅探索、仅测试
如果系统需要扫描的页面或是元素较少 可以直接选中 完全扫描(其实就是探索和测试一条龙服务)
如果页面需要扫描的页面和元素比较多时,可以分开来,先探索,探索完成后再进行测试。目的是了解被测的网站结构,评估范围。探索也就是 扫描出整个系统的基本结构和页面。
测试 就是根据你所配置的信息 如测试策略、深度等等 对页面中的元素进行测试 从而得出安全性问题。只对前面探索过的页面进行测试,不对新发现的页面进行测试
如果只是对系统中某个模板进行 扫描的话,可以 通过 ”手动探索“ 获取需要扫描的指定页面
理解了这个地方,就理解了AppScan的工作原理,我们慢慢展开
在使用AppScan的时候,要配置的第一个就是要检查的网站的地址,配置了以后,AppScan就会利用“探索”技术去发现这个网站存在多少个目录,多少个页面,页面中有哪些参数等,简单说,了解了你的网站的结构。
“探索”了解了,测试的目标和范围就大致确定了,然后呢,利用“军火库”,发送导弹,进行安全攻击,这个过程就是“测试”;针对发现的每个页面的每个参数,进行安全检查,检查的弹药就来自AppScan的扫描规则库,其类似杀毒软件的病毒库,具体可以检查的安全攻击类型都在里面做好了,我们去使用即可。
那么什么是“完全测试呢”,完全测试就是把上面的两个步骤整合起来,
使用
我们按照PDCA的方法论来进行规划和讨论; 建议的AppScan使用步骤:PDCA: Plan,Do,check, Action and Analysis.
计划阶段:明确目的,进行策略性的选择和任务分解。
1) 明确目的:选择合适的扫描策略
2) 了解对象:首先进行探索,了解网站结构和规模
3) 确定策略:进行对应的配置
a) 按照目录进行扫描任务的分解
b) 按照扫描策略进行扫描任务的分解
执行阶段:一边扫描一遍观察
4) 进行扫描
5) 先爬后扫(继续仅测试)
检查阶段(Check)
6) 检查和调整配置
结果分析(Analysis)
7) 对比结果
8) 汇总结果(整合和过滤)
详细使用方法
由于Appscan测试时间很长,好像是一个元素测试200次,建议先探索部分,然后仅测试,分析漏洞后再继续往下测试。
1.打开Appscan点击左上角文件-新建或者Ctrl+N创建扫描
2.选择常规扫描,进入配置向导。
3.选择Appscan(自动或手动)直接点击下一步,进入配置
4.点击”下一步“,出现URL和服务器的配置页面,如图,输入需要测试的URL。
5.点击”下一步“,出现登录管理的页面,这是因为对于大部分网站,需要用户名和密码登录进去才可以查看许多内容,未登录的情况下就只可以访问部分页面。没有验证码选记录或自动,有验证码选提示,不登录就选无
6.选择策略 完成
1)启动全面自动扫描:会自动探索URL,而且边探索边扫描页面。
2)仅使用自动“探索”启动:自动探索URL,不做扫描。
3)使用“手动探索”: 手动去访问页面,AppScan会自动记录你访问页面的url
4)我将稍后启动扫描:AppScan不做任何操作,需要自己手动去启动扫描。
