app的安全测试_appscan是什么软件[通俗易懂]

app的安全测试_appscan是什么软件[通俗易懂]自动:如果AppScan可仅使用名称和密码来登录,而不需要特定的过程,请选择该选项,然后输入“用户名”和“密码”

安全测试三部曲之APPScan介绍

上面我们主要接触了网络安全相关的案例讲解,了解了大概的网络攻击方式,那我想问下,现在我们该如何开展一个软件的安全测试?

app的安全测试_appscan是什么软件[通俗易懂]

难道我们现在需要进行每个接口的扫描,sql注入测试,针对前段做XSS攻击,针对cookie做csrf攻击吗?NO

接下来给请出我们今天的主角APPSCan

app的安全测试_appscan是什么软件[通俗易懂]

1、AppScan是什么?

AppScan是IBM的一款web安全扫描工具,可以利用爬虫技术进行网站安全渗透测试,根据网站入口自动对网页链接进行安全扫描,扫描之后会提供扫描报告和修复建议等。

AppScan有自己的用例库,版本越新用例库越全(用例库越全面,对漏洞的检测较全面,被测试系统的安全性则越高)

工作原理:

1)通过探索了解整个web页面结果

2)通过分析,使用扫描规则库对修改的HTTP Request进行攻击尝试

3)分析 Response 来验证是否存在安全漏洞

2、AppScan激活成功教程并添加许可证

大家可以看到附件中有提供的appscan安装包,按照如下步骤进行使用

(1)安装文件下载解压后显示AppScanStandard.txt和rcl_rational.dll文件

app的安全测试_appscan是什么软件[通俗易懂]

(2)把文件(AppScanStandard.txt和rcl_rational.dll)复制到AppScan安装地址的文件夹下

(3)添加许可证书:

打开AppScan,点击帮助-许可证;

选择“打开Appscan License Manager…”;

点击“许可证配置-节点锁定许可证文件-+”,选择AppScanStandard.txt作为许可证;

保存,即可完成激活授权。

AppScan的使用步骤

(1)启动AppScan扫描工具,点击文件-新建;

app的安全测试_appscan是什么软件[通俗易懂]

(2)测试网站信息,选择“扫描Web应用程序”,在文本框中输入应用程序的 URL,如果成功,那么在“起始 URL”下将显示绿色复选标记和“已连接到服务器”确认。

app的安全测试_appscan是什么软件[通俗易懂]

(3)单击下一步。进入“登录管理”步骤。

记录:如果选择该选项,那么 AppScan® 将使用所记录的登录过程,从而像实际用户一样填写字段并单击链接。

自动:如果 AppScan 可仅使用名称和密码来登录,而不需要特定的过程,请选择该选项,然后输入“用户名”和“密码”。如果每次登录都需要人机交互(如双因素认证、一次性密码或 CAPTCHA),请选择“提示”选项。

提示:在这种情况下,您必须仍然记录登录过程。虽然 AppScan 将不会使用您记录的过程来尝试登录,但是它需要将该过程作为参考来了解何时已被注销。

无:仅当应用程序不需要登录时,或因为其他原因,您不想 AppScan 登录时,才选择该选项

app的安全测试_appscan是什么软件[通俗易懂]

(4)单击下一步,进入“测试策略”步骤;扫描限制为所需的特定类型的测试可以缩短扫描时间。

扫描期间,AppScan® 发送的测试数量可以达到数千。有时,最好将扫描限制在仅扫描特定类型,以减少扫描时间。这是“测试策略”。

过程:

检查“测试策略”是否适合您的需要。(如果您不能肯定,请保持“缺省测试策略”。)

要装入其他“测试策略”,请单击策略文件窗格中其中一个“预定义策略”或“最新策略”。

将测试发送到登录和注销页面:缺省情况下,AppScan 将测试登录和注销页面以及应用程序的其余部分。您应该保持该缺省配置,除非:

您的应用程序具有安全保护,可阻止在这些页面上提供非法输入的用户

如果测试这些页面,您的应用程序流程会改变,如果不确定您的应用程序会如何响应这些测试,那么请保持选定该选项。

app的安全测试_appscan是什么软件[通俗易懂]

(5)单击下一步,进入“测试优化”步骤;通过“测试优化”,可以利用正在进行的统计分析来加快扫描速度。

app的安全测试_appscan是什么软件[通俗易懂]

 app的安全测试_appscan是什么软件[通俗易懂]

6)单击下一步,进入“完成”步骤;将决定如何以及何时启动已配置的扫描。

app的安全测试_appscan是什么软件[通俗易懂]

(7)单击完成;将决定如何以及何时启动已配置的扫描;

完成中的选项分析:

启动全面自动扫描:启动应用程序的全面扫描(“探索”后将立即进行“测试”)。

使用仅自动“探索”来启动:探索应用程序,但不继续“测试”阶段。(可以稍后运行“测试”阶段)。

使用手动探索来启动:浏览器将打开,并且您可以通过单击链接并填写字段来手动探索站点。AppScan 将记录结果,以便在“测试”阶段使用。

我将稍后启动扫描:关闭向导,不启动扫描。下次启动扫描时,会使用该模板。

今天的文章app的安全测试_appscan是什么软件[通俗易懂]分享到此就结束了,感谢您的阅读。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
如需转载请保留出处:https://bianchenghao.cn/75033.html

(0)
编程小号编程小号

相关推荐

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注