从安装到使用web漏洞扫描工具
一、AppScan—简介
AppScan 安装在 windows 操作系统上,可以对网站等web应用进行自动化的应用安全扫描和测试。
是一个产品家族,包括众多的应用安全扫描产品,从开发阶段的源代码扫描的 AppScan source edition,到针对web应用进行快速扫描的 AppScan standard edition,以及进行安全管理和汇总整合的 AppScan enterprise Edition 等。
我们经常说的 AppScan 就是指的桌面版本的 AppScan,即 AppScan standard edition。其安装在windows 操作系统上,可以对网站等web应用进行自动化的应用安全扫描和测试。
web扫描器也是为我们做信息收集、为接下来的渗透测试做准备。
二、AppScan 的工作原理
- 通过“探索”功能,利用 HTTP Request 和 Response 的内容,爬行出指定网站的整个 Web 应用结构。
- AppScan 本身有一个内置的漏洞扫描的规则库,可随版本进行更新。从探索出的 url 中,修改参数 or 目录名等方式,构造不同的 url 对照组向服务器发送请求 or 攻击。
- 根据 HTTP Response 返回的内容,和正常请求所返回的响应作对比,是否产生差异性,而这种差异性又是否符合扫描规则库的设定规则,以此来判断是否存在不同类型的安全漏洞。
- 若 APPScan 可判断存在安全漏洞,则对这些漏洞的威胁风险给出说明,进行严重程度提示,并给出修复的建议和方法,以及漏洞发现的位置提示。
三、AppScan—安装
具体详情:https://www.cnblogs.com/zaixiachengxuyuan/p/14941557.html
下载地址:https://pan.baidu.com/s/19TAHl8lYGmE0O753ULyzYA
密码:yvle
AppScan 的安装配置要求:
1、系统版本
Windows 2008 R2
2、NET framework 4.62
3、替换文件
4、更新补丁
文件地址如下图所示:
四、添加目标
AppScan 扫描流程
1、新建扫描 – 常规扫描
2、配置扫描向导
3、设置目标地址
4、登录方法 – 无
5、测试策略 – 缺省值
6、启动扫描 – 保存扫描文件
使用教程地址:https://blog.csdn.net/u010013191/article/details/80733170
五、扫描报告
创建扫描报告并阅读
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
如需转载请保留出处:https://bianchenghao.cn/34293.html
