Web应用安全扫描工具Appscan
发布时间:2022-10-19 13:11:12 所属栏目:安全 来源:
导读: 【工具】
版本:appscan 9.0.0
appscan是一个综合全面的安全扫描工具,适用于安全测试入门。对于安全测试新手来说,直接上手手工寻找安全漏洞难度较大,范围太广也不具有针对性。在扫描工具的测
版本:appscan 9.0.0
appscan是一个综合全面的安全扫描工具,适用于安全测试入门。对于安全测试新手来说,直接上手手工寻找安全漏洞难度较大,范围太广也不具有针对性。在扫描工具的测
|
【工具】 版本:appscan 9.0.0 appscan是一个综合全面的安全扫描工具,适用于安全测试入门。对于安全测试新手来说,直接上手手工寻找安全漏洞难度较大,范围太广也不具有针对性。在扫描工具的测试结果基础上逐一验证是一个不错的方法。 【步骤】 1、新建常规扫描 2、扫描配置 ①扫描地址,根据情况选择是否仅扫描这个路径下的链接(考虑到有些网站类的应用会提供友情链接至其他网站等情况),路径是否区分大小写(linux、unix等)。 ②登录管理,推荐使用浏览器录制进行登录记录,如有需要可使用自定义外部浏览器,注意浏览器版本不要太高。 注:如果遇到特殊情况一直登陆不了导致不便扫描的,可以选择“提示”方式进行登录,即当需要登录时由测试人员手工输入,之后继续自动扫描。 ③环境定义,如果测试者清楚了解环境信息的话,将这些内容提前配置好,更有针对性。 ④探索选项,根据应用差异定义深度广度优先策略及深度限制,是否解析js和flash等。 ⑤通信代理,定义超时时间和扫描线程数(偏大容易出问题),是否设置代理等。 扫描配置中还有很多其他配置项内容如自动填充表单设置、排除路径和文件设置、测试策略与选项,在创建扫描时可以都过一遍,根据自己对项目的了解适当调整,有些不确定的项可以保留默认配置。 3、自动探索阶段 配置完后可以选择“完全扫描”或者"仅探索",完全扫描是探索路径/元素同时对其进行测试,“仅探索”是只扫描全部路径与元素,暂时先不测试。这里推荐先仅探索。 4、手动探索阶段 自动探索路径与元素完成后,为防疏漏,通过手动探索进入系统点击各个页面及按钮等(如用户平常操作)网站安全扫描,如有之前自动扫描遗漏的路径,扫描工具会自动进行记录。通常在一次手动探索添加url后还有可以自动探索的空间,继续点一次“仅探索”。 注:如果需要手动探索的路径过多,可以考虑扫描配置中适当调大自动探索深度值。 5、测试阶段 可根据下方已访问页面数、已测试元素数查看测试进度。一个较大的web应用或者网站甚至需要花费十小时以上完成一次整体测试扫描。 6、导出报告 在工具-报告中可以选择需要导出的报告模板,可选样式相当丰富。推荐使用“管理综合报告样本进行导出”。 (编辑:应用网_阳江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐
浙公网安备 33038102331048号