• WEB安全漏洞扫描与处理(上)——安全漏洞扫描工具AppScan的安装使用


    很多公司对软件会有安全的要求,一般测试公司会使用安全漏洞扫描工具对软件进行漏扫,然后给出安全报告,然后软件开发人员会根据提供的安全报告进行漏洞的处理。我们接触到的测评公司,使用的是漏洞扫描工具AppScan,这里介绍一下AppScan的安装使用,以及安全报告的生成。

    1漏扫工具AppScan的下载和安装

    1.1 AppScan的下载

    利用百度搜索Appscan,可以找到对应的资源,下载后,一般是压缩文件,大概500M左右,现在的版本是10.0,旧一些的版本9.0也可以,文件大小差不多。文件解压后,有一个安装文件,还有资料。以10.0.0版本为例,安装文件为AppScan_Setup_10.0.0.exe,文件在文件夹AppScanStdCrk中。

     

     打开AppScanStdCrk之后,里面有文件,AppScanStandard.txt和rcl_rational.dll。

     

     1.2 AppScan的安装

    以管理员权限运行AppScan_Setup_10.0.0.exe,进行默认安装,通过一直点击下一步,可以完成安装。

    安装后进行软件的操作。

    将rcl_rational.dll复制保存到软件的安装目录C:Program Files (x86)HCLAppScan Standard中。

    然后打开软件,选择帮助—许可证,点击下方的切换到IBM许可证,在新弹出的页面点击“打开AppScan License Manager”,然后在弹出的页面点击右上方的许可证配置,点击+号,

    选择文件AppScanStandard.txt,导入文件,导入成功后确定。 

     

     通过替换文件,以及导入文本,软件安装成功,软件信息如下所示。

     

     2 AppScan的漏洞扫描过程

    利用工具AppScan进行漏扫,可以自动化的对某个网站进行漏洞扫描。

    比如对某个网站进行漏扫,首先点击文件—新建,选择扫描Web应用程序,然后会出现扫描配置向导。第一步确认起始URL,在文本输入栏输入要扫描的网址或网站IP,点击下一步。

     

     第二步是进行登录管理的设置。可以选择默认的记录方式登录到应用程序,点击记录,选择chrome(比较常用),进行登录操作,这时候工具会记录下来登录信息。然后点击下一步。

     

     第三步进行测试策略的选择,上方有测试策略的选择框,下方左侧是策略的列表,下方右侧是对测试策略的说明。

     

     第四步是测试优化的选择。

     

     最后一步是选择启动扫描的方式,默认是启动全面自动扫描,点击完成后,工具开始漏洞扫描。也可以选择“我将稍后启动扫描”,进行策略配置后,再进行扫描工作。

     

     启动扫描后,等待扫描任务完成。

    3安全报告的生成

    扫描完成之后,会在软件的页面显示相应的扫描结果信息,可以通过点击对应的信息点直接查看漏洞情况。

     

     也可以生成pdf格式的安全报告,提交给相应的人员,以便进一步的处理。点击菜单下面的工具栏的报告。

     

     在创建报告的页面选择安全性,然后可以选择一个模板,右侧会显示模板中包含的内容,选择详细模板,基本上会包含绝大部分内容,也可以直接在右侧勾选内容。

     

     选择完成后,点击保存报告,则会生成pdf安全报告。

    4 结语

    该部分主要对AppScan的安装、漏洞扫描以及报告生成进行了说明,是一个简易的操作描述,如果对漏洞扫描有特别要求,还需要进行测试策略的详细配置,在配置工具栏,可以看到详细的策略配置信息,后续还要介绍安全测试报告的分析,以及对应漏洞的处理。

  • 相关阅读:
    X lvm管理:扩展lv、删除pv、lv,删除物理卷PV
    X 如何在Linux中缩小LVM大小(逻辑卷调整)如何在Linux中缩小LVM大小(逻辑卷调整)
    元素和为目标值的子矩阵数量
    完美矩形问题
    桶排序算法
    组合数组合
    求两个有序数组的第k大的数(默认两有序数组都为从小到大)
    二叉树的遍历
    卡特兰数
    二叉排序树
  • 原文地址:https://www.cnblogs.com/coodream2009/p/14931611.html
Copyright © 2020-2023  润新知