安全工具之Appscan


一、AppScan概述

  AppScan是专门面向Web应用安全检测的自动化工具,是对Web应用和Web Services进行自动化安全扫描的黑盒工具。它不但可以发现和修复Web应用安全隐患的过程,还可根据发现的安全隐患给出针对性的修复建议,并生成详细、标准的报告。

二、AppScan扫描原理

1.通过自动化的“爬虫”技术发现整个 Web 应用结构 (众多页面和页面参数);

2.根据分析,发送修改的 HTTP Request 进行攻击尝试(扫描规则库);

3.通过对于 Respone 的分析验证是否存在安全漏洞;

安全工具之Appscan

 

三、AppScan提供四种类型的扫描

1.Web应用程序扫描:提供具有起始URL和登录凭证的AppScan,以便测试站点。若有必要,可手动搜寻站点,为AppScan提供对只能通过特定用户输入来搜寻的区域的访问权。

2.Web Service扫描:集成的Rational工具GSC会创建一个接口,用于显示可用的服务,并允许输入参数和查看结果。该过程通过AppScan来记录并用来针对服务创建测试。

3.使用外部客户机扫描:使用移动设备、浏览器或其他客户机进行浏览,并用appscan作为代理。

4.增量扫描:使用增量扫描仅测试应用程序的新内容。

四、AppScan扫描包含两个阶段:探索和测试

1.探索阶段:AppScan将探索站点(Web Service、应用程序),方法是:模拟Web用户 单击链接并填写表单字段。它将分析响应,以查找潜在漏洞的指示,并使用这些响应来  创建测试请求。探索行为具有高度的可配置性,可使用 “扫描专家”进行优化。

2.测试阶段:AppScan将发送在探索过程中所创建的数以千计的定制测试请求。它将记录  和分析应用程序的响应,用以标识安全性问题并对这些问题的安全性风险级别进行评级。

完成探索和测试的第一阶段后,AppScan会自动开始新的阶段,以处理测试阶段中发现的任何新的信息。完成了已配置数量的扫描阶段后,扫描将结束。

五、AppScan安装

  • 应用版本:AppScan_Std_10.0.3
  • 文件主要包括两个包:一个安装包、一个破解包

        安全工具之Appscan

  • 选择安装包开始安装(建议:采用默认路径安装)
  • 选择中文,点击“确定”

           安全工具之Appscan

  • 勾选“我已阅读并接受许可条款”点击“安装”

         安全工具之Appscan

  • 建议不更改安装路径,采用默认路径安装
  • 安装成功后,点击“完成”
  • 安装完成之后把AppScan破解文件中的AppScanSDK.dll和HclLicenseProvider.dll文件复制粘贴到安装路径,替换原有的文件,即可完成破解

        安全工具之Appscan

           安全工具之Appscan

 

 

 

六、扫描流程

1.新建扫描任务–选择扫描类型

  • 扫描类型的选择,打开AppScan工具,点击“新建”,会弹出一个扫描类型选择框,根据需要选择,一般选择“扫描Web应用程序”

        安全工具之Appscan

 

  • 若只对Web程序本身的漏洞检测,就选Web 应用程序扫描即可;
  • 若需要对Web服务进行扫描,则选择Web Service;
  • 如果选择Web Service扫描,则需提前告知服务器维护的负责人,建立异常情况发生的处理机制,最好避开访问请求的高峰or办公人员集中使用的时间,比如下班后自动扫描;
  • 若需要使用Web Service扫描功能,需要提前下载安装好GSC Web Services记录器;
  • 若只对应用程序新增内容进行扫描,则选择增量扫描。

2.新建扫描任务—输入起始URL

  • 下一步会进入扫描配置向导,输入“起始URL(appscan测试网址:https://demo.testfire.net)安全工具之Appscan 

 3.新建扫描任务–选择登录方法

  • 进入登录管理,因为有些页面需要登录后才能做有效的扫描,这里记录的是登录所需信息,便于扫描时能登录应用程序。总共有4种方法,比较常用的是“记录”和“自动”

          安全工具之Appscan

  • 若登录方法选择“记录”,则可通过界面右侧的“记录(R)”按钮打开APPScan内置浏览器并输入登录信息,内置浏览器会自动关闭,AppScan即可记录该用户名和密码,扫描的时候相当于是已登录此账户的状态进行扫描;
  • 若选择“提示”,则根据网站扫描探索过程中需要登录会提示输入登录信息,人工输入正确的账号信息之后继续扫描;
  • 若选择“自动”,则填写用户名和密码,APPScan在扫描过程中,会自动使用用户名和密码登录继续扫描;
  • 若选择“无”,则不需输入登录账户。
  • 登录方法选择记录,点击推荐浏览器,打开的登录页面中输入用户名和密码,登录成功后点击“我已登录到站点”

   安全工具之Appscan

  • 点击“我已登录到站点”后,工具开始进行登录序列的分析

   安全工具之Appscan

  • 分析完成登录序列后,页面显示已成功配置登录

  安全工具之Appscan

 

 

 4.新建扫描任务–选择测试策略

  • 选择适当的测试策略,一般保持默认选择,即“缺省值”

  安全工具之Appscan

 

 

 5.新建扫描任务–选择测试优化

  • 选择适当的测试优化,一般保持默认选择,即“快速”

       安全工具之Appscan

 

 

 6.新建扫描任务–设置启动模式

  • 根据实际需要选择,点击“完成”,即可开始启动扫描

  安全工具之Appscan

  • 启动扫描:探索的同时,也进行攻击测试;
  • 仅使用自动探索启动:自动探索网站的目录结构,可被测的链接范围及数目,不作实际攻击测试;
  • 使用手动探索启动:先通过AppScan内置浏览器打开被测网站,手动点击不同的目录页面,然后AppScan记录之;
  • 我将稍后启动扫描:先把此次网站的扫描配置进行保存,后续若想扫描的时候再继续操作。

7.其他扫描配置—排除路径和文件

  • 根据需要排除一些路径(如登出URL)和文件(如静态页面)

  安全工具之Appscan

8.其他扫描配置—通信和代理

  • 根据实际情况,设置扫描的线程数和超时时间,从而减低扫描速度,减少对应用服务器造成过高负载

  安全工具之Appscan

 

 

 9.其他扫描配置—测试策略

  • 扫描策略是用默认的,如果要特殊的配置,可按实际勾选需要的,或者只想扫描某一块的信息。这里显示了所有策略分类

  安全工具之Appscan

 

 

 

七、手动探索

  • 手动探索可以更好的针对每个模块进行请求抓取,抓取后针对每个请求进行漏洞扫描

       安全工具之Appscan

 

八、扫描测试

  • 根据实际情况,点击扫描,第一次扫描建议选择完全扫描

 

 

        安全工具之Appscan

 

 

 

 九、扫描进行中

      安全工具之Appscan

 

 

 

 十、分析结果

  • 扫描结果分为三个模块:应用程序的应用链接、扫描出来的安全问题、问题分析及修复建议

   安全工具之Appscan

  • 问题信息:给出了选定的漏洞详细信息,显示具体的URL和与之相关的安全风险

   安全工具之Appscan

  • 咨询:可以找到问题的技术说明,受影响的产品,以及参考链接

  安全工具之Appscan

  • 修订建议:给出该安全问题的修订建议

  安全工具之Appscan

 

 

十一、创建报告

  • 在分析结束之后,可以针对所有确定的结果进行生成报告,其中包括为了解决问题需要遵循的补救措施的报告,报告是可以根据需求进行定制的

  安全工具之Appscan

 

原创文章,作者:745907710,如若转载,请注明出处:https://blog.ytso.com/270658.html

(0)
上一篇 2022年6月28日
下一篇 2022年6月29日

相关推荐

发表回复

登录后才能评论