• IBM Security App Scan 资料整理


    转自:http://blog.csdn.net/u013147600/article/details/50002089

    这是学习和使用IBM AppScan过程中总结整理的一些资料。
     

    扫描系统操作步骤:

     
    1.去IBM官网下载IBM Security AppScan Standard 产品,然后下载破解文件进行替换。
    2.按步骤安装,有的扫描过程可能还要下载WebServer,看具体情况
    3.安装成功的话,看需要是否要配置Glass Box,具体方法可以查看AppScan Standard的帮助文档,里面有详细的介绍
    4.对Web项目进行扫描和分析
       4.1 主要分为两步骤:探索(Expelor)和测试(Test)
            探索也就是扫描出Web项目结构,其中包括页面和需要测试的参数
            测试是根据配置中选择的规则对系统进行测试,检测系统的安全漏洞
            探索和测试(完全扫描包括这两个步骤)完成后就可以按需要生成安全报告或是增量分析。
     
     

    扫描操作资源:

    1. AppScan使用分享:http://www.cnblogs.com/fnng/archive/2012/10/09/2717568.html
    其中的Fiddler工具可以检测出你访问页面的一些信息,我们只需要他的Host也就是域名。
     
    2. 使用 IBM Security AppScan 提高 Web 应用的安全性
    http://www.ibm.com/developerworks/cn/rational/tutorials/r-cn-appscanwebsecurity/
    这里介绍了两种方法:Web应用静态代码分析(对源码进行分析)和Web应用动态Web分析,网上介绍Web应用动态Web分析比较多
     
     
    3. IBM Rational Appscan Part 1(英文,打开好慢)
    http://resources.infosecinstitute.com/ibm-rational-appscan/
     
    4. IBM Rational Appscan: Part 2
    http://resources.infosecinstitute.com/appscan-part-2/
     
    5. 使用appscan实现多站扫描简单自动化
    http://www.cnblogs.com/yangxia-test/p/4065634.html
     
    6. IBM Rational AppScan使用详细说明
    http://www.nxadmin.com/tools/675.html
     
    7. WebInspect
    http://resources.infosecinstitute.com/webinspect/
     
    8.Webinspect Part 2
    http://resources.infosecinstitute.com/webinspect-part-2/
     
     

    资源下载地址:

     
    可以搜索下载
     
    --- http://www.sobaidupan.com/search.asp?r=0&wd=IBM%20Security%20AppScan%20Standard%20v9.0
     
    IBM官网下载(需要注册账号)
    --- https://www.ibm.com/developerworks/downloads/r/appscan/
     
    知名安全检测工具IBM Rational AppScan v9.0.1.1发布
    --- http://www.freebuf.com/tools/55090.html
    --- http://pan.baidu.com/s/1sjkDDi1
     
    IBM 软件产品电子目录(IBM Security AppScan)
    --- http://www-03.ibm.com/software/products/zh/appscan/
     
    IBM Knowledge Center(IBM产品其中包括AppScan并且有多个版本)
    --- http://www-01.ibm.com/support/knowledgecenter/
     
    IBM Security AppScan Source(包括了多个版本)
    --- http://www-01.ibm.com/support/knowledgecenter/SSS9LM/welcome
     
    AppScan8.7版本
    --- http://pan.baidu.com/share/link?shareid=641677745&uk=4045637737
     
     
     

    AppScan产品介绍:

    IBM Security AppScan Standard一款优秀的Web应用安全测试工具
     --- http://www.ithov.com/server/120160.shtml
     
    AppScan 标准版与源码版功能介绍
    --- http://wenku.baidu.com/link?url=YPxa5bSVi8GZL0pYrplv7X3GmXoINM4IhJx55wOc9-
    sQjjEhlxvP9XrUAIkr_LvDi6lO0Z7Rj0fgW37rTCrRfkvcH0B_0_IvC97N4EW4iFK
     
    使用 AppScan 进行扫描
    --- http://blog.sina.com.cn/s/blog_692fcf380100ujc4.html
     
     
     

    AppScan知识点资源:

     
     
    IBM Security AppScan Glass Box:一种全新的漏洞扫描思想
    --- http://www.51testing.com/html/95/n-864695.html
     
     
    开发可靠安全的 Web 应用程序:IBM Rational AppScan Developer Edition 入门简介

    --- http://www.ibm.com/developerworks/cn/rational/08/0916_podjarny/

     
    Rational AppScan Source Edition:从代码开始使用复合技术保证 Web 应用安全

    --- http://www.ibm.com/developerworks/cn/rational/r-cn-appscansourceedition/

     
    使用 IBM Security AppScan 进行自动化 Web 应用程序漏洞扫描
    --- http://www.ibm.com/developerworks/cn/rational/automated-vulnerability-scanning-web-applications/
     
    web安全测试---AppScan扫描工具
    --- http://www.cnblogs.com/fnng/archive/2012/05/27/2520594.html
     
     
    Manage application security risks to help protect your organization’s critical data (Brochure-USEN)(英文)
    --- http://public.dhe.ibm.com/common/ssi/ecm/wg/en/wgb03009usen/WGB03009USEN.PDF
    --- http://www-01.ibm.com/common/ssi/cgi-bin/ssialias?subtype=BR&infotype=PM&appname=SWGE_WG_WG_USEN&htmlfid=WGB03009USEN&attachment=WGB03009USEN.PDF
     
    对appscan做了2天安全性测试后的总结
    --- http://bbs.51testing.com/thread-376118-1-1.html
     
     
     

    相关知识资源:

    网络攻击技术开篇——SQL Injection(SQL注入)
    --- http://www.cnblogs.com/rush/archive/2011/12/31/2309203.html
     
    网络攻击技术(二)——Cross-site scripting
    --- http://www.cnblogs.com/rush/archive/2012/01/15/2323012.html
     
    网络攻击技术(三)——Denial Of Service
    --- http://www.cnblogs.com/rush/archive/2012/02/05/2339037.html
     
    实战http://3b3.org/c.js恶意SQL注入[转贴]
    --- http://blog.csdn.net/htl258/article/details/4026169
     
    SQL注入漏洞全接触
    --- http://subject.csdn.net/SQL-I/
     
     

    扫描过程中的问题:

    关于Rational AppScan Standard会话检测机制

    --- https://www-304.ibm.com/support/docview.wss?uid=swg21508423

     
    AppScan深入浅出]复漏洞:启用不安全的HTTP方法 (中)
    --- http://www.2cto.com/Article/201209/157201.html
     
    web安全扫描问题疑问 AppScan
    --- http://www.iteye.com/problems/37503
     
    关于Rational AppScan Standard扫描过程中发生的通信问题
    --- http://www.51testing.com/html/23/n-867223.html
  • 相关阅读:
    DOM获取分辨率
    DataSnap被动断开客户端及主动断开客户端
    DOM的常用操作
    Apache Shiro官方的教程和文档
    maven jar 导入本地仓库
    Media Queries 媒体查询详解
    flash遮挡DIV元素的问题总结
    CSS样式字体 自动换行(强制换行)与强制不换行
    【推荐】万能清除浮动样式
    响应式网页设计
  • 原文地址:https://www.cnblogs.com/saryli/p/5820605.html
Copyright © 2020-2023  润新知