• AppScan--图解Web扫描工具IBM Security App Scan Standard


    App Scan用法:
     
    首先打开IBM Security AppScan Standard 工具
     
    点击 创建新的扫描 ->  点击”常规扫描“ ->之后你就会看到如下图:
     
     
    这里你可以直接点击 ”下一步“ 或是点击 ”完整扫描配置“
     
    先点击 ”完整扫描配置“
     
    URL 和服务器
    1.在起始URL中输入你要扫描的网站网址
    2.你的系统中可能还包括其他的域名可以在这里添加,注意格式要求(不能直接输入整个网址,可以使用fiddler4检测工具 获得系统所访问的地址)
     
    点击 登录管理:
    如果的你系统刚开始要登录的话这里要进行设置,如果不需要登录直接选择 选中” 无“ 即可。
     
    需要登录的话  鼠标移到 ”登录“按钮后点击上图的 ”使用AppScan 浏览器“ 就会根据你的URL 打开登录页面,要你输入账号和密码
    (我测试的这个页面没有登录界面) ,当登录成功后点击 ”我已登录到站点“ 按钮,这样就会记录你的登录序列 
     
     
     
    记录成功后,点击 标签 ”详细信息“ 可以查看到验证的成果
     
     
    环境定义 可以不进行更改 直接默认就好
     
    排除路径和文件
    有需要的排除的路径和文件 可以在这里添加。(我之前扫描这个系统,有个路径执行saveOrUpdate操作,每次执行到这类路径,扫描就扫不动了,而且总是会session重复登录,之后在这边把它排除掉,扫描速度就提了好多。所以对于那些无关紧要的网址可以在这边排除掉)
     
    探索选项  要适当进行修改
     
    Glass Box 
     
    连接-
    通信 和代理
     
     
     
    其他的一般情况 就不需要进行设置了,默认就好了。 设置完后你可以导出为模板,以便下次使用。
    确定按钮 后 又返回到下图:
     
    因为你之前以及设置过了,所以一直点 ”下一步“,
     
    点击 完成 后 如果勾选了 扫描专家 ,会先启动 扫描专家 进行扫描优化(我比较烦这个,所以不勾选)
    直接进入扫描了。
     
    如上图: AppScan 的扫描 分三类:完全扫描 、仅探索、仅测试 
     
    如果系统需要扫描的页面或是元素较少 可以直接选中 完全扫描(其实就是探索和测试一条龙服务)
     
    如果页面需要扫描的页面和元素比较多时,可以分开来,先探索,探索完成后再进行测试。
     
    探索也就是 扫描出整个系统的基本结构和页面。
    测试 就是根据你所配置的信息 如测试策略、深度等等 对页面中的元素进行测试 从而得出安全性问题
     
    如果只是对系统中某个模板进行 扫描的话,可以 通过 ”手动探索“ 获取需要扫描的指定页面 
     
     
    在页面中 点击到你需要测试的模块页面,后单击 ”暂停记录“ 按钮 后关闭页面。
     
     
    之后就会打开下面的对话框,里面的url 就是是手动点击页面的 所包含的url连接
     
     
     
    扫描完成后可以 生成各种类型的 扫描报告,这个还是不错的,不然要自己去写就太坑了。
     
     
    扫描日志:在扫描过程中可以查看扫描的一些信息
     
     
    扫描的页面还有许多有用的功能,以及很有帮助的设置,可以去网上查找。
     
    扫描的结果截屏:
     
    之前 扫描个系统,测试的元素太多,服务器又时常会连不上,花了28个小时。所以合理配置扫描信息还是蛮重要的
     
  • 相关阅读:
    独立思考模型与经验-仅供参考
    独立思考与输入、吸收
    基于事实和全方位思考
    独立思考有四个层次-知识体系
    思维框架
    阅读、思考与吸收
    思考与阅读
    博学之,审问之,慎思之,明辨之,笃行之:思考与成长
    如何成为有想法的人?如何培养独立思考的能力?
    人的本质--以人为本--思考-认识世界、改造世界
  • 原文地址:https://www.cnblogs.com/hushaojun/p/9127344.html
Copyright © 2020-2023  润新知