软件测试论坛 › [安全测试工具] › 对appscan做了2天安全性测试后的总结

cm5122590 发表于 2011-1-13 13:17:03

对appscan做了2天安全性测试后的总结

最近抽了2天时间研究了下appscan工具，针对登录这个简单的操作流程进行了下扫描。根据这2天对扫描结果的阅读和对安全性测试与业内人士的交流，下面总结了几点自己个人的想法（仅限于个人想法），呵呵！

1.appscan扫描出的问题
1.跨站点脚本攻击（http://g2.mail.10086ts.cn/serviceapi/CommonRequest.ashx ）
针对http://g2.mail.10086ts.cn/serviceapi/CommonRequest.ashx?sid=>"'><script>alert(1292)</script>&r=>"'><script>alert(1292)</script>&mobile=>"'><script>alert(1292)</script>&reqtype=>"'><script>alert(1292)</script>
进行改动，可以直接跳转到指定的网站
http://g2.mail.10086ts.cn/serviceapi/CommonRequest.ashx?sid=>"'><script>alert(1292)</script>&r=>"'><script>alert(1292)</script>&mobile=>"'><script>alert(1292)</script>&reqtype=>"'><script>window.location="http://www.baidu.com";</script>

2.检测到敏感文件和隐藏目录
例如：http://g2.mail.10086ts.cn/addr/apiserver/
这样的目录很多，修改的建议是：将 Web 服务器配置成拒绝列出目录

3.web应用程序源代码泄露
扫描出部分js文件中含有程序源代码，例如;CookieUtils.js

4.SQL 盲注
登录时，能扫描出用户的用户名和密码！但我查看了例如QQ,网易的邮箱登录后，利用抓包工具都能抓出“密码”出来！


2.APPSCAN使用问题
1.解决的问题
先前在web中，登录邮箱不能扫描到具体的模块，提示不在会话环境中。可以通过加域然后进行手动搜索来解决。例如在域中加入：g0.mail.10086ts.cn.
wap可以用开发提供的链接地址，然后手动搜索来扫描具体模块的URL

2.未解决的问题
扫描中，自动提示和推荐的记录两种扫描方式依然会报不在会话环境中。

3.困难
网上相关的appscan资料太少。做相关工作的人也不多。遇到问题没人咨询，感觉闭门造车。


3.对安全性测试的认识：
1.安全性测试，其实应该在开发编程中就进行投入。例如在咱公司项目里程碑的基础上，加入安全性验证这环！做安全性，应该开发先具备安全编程的知识

2.appscan不足点：在开发编码完成后，才进行验证。已经错过了最佳修正时期

3.经过这次对appscan和安全性的研究，发现安全性测试是一个学习成本很高的东东！消耗时间相当长。首先你需要对编程知识有一定的了解，各门语言！然后对常规
漏洞攻击方式和攻击工具都具备一定的执行能力，例如：sql注入.跨站,XSS攻击。最主要的是对公司的代码有一定深度的了解，不然和开发交流的时候，不能使其信服。（不说比开发了解，但不能比开发差）。如果单只是用扫描工具进行扫描，自动生成报告，丢给开发，觉得安全性工作效果不大。

4.扫描工具结果的理解！针对扫描出来的漏洞，单作为测试人员理解比较困难，需要经验的积累和知识的补给！appcan工具只是提供了一个安全改进的参考，重点还在于漏洞的修复

4.工作的改进
1.先前一直在做appscan的工具研究，忽视了安全性测试基础知识的巩固。
2.对公司各个模块的流程和代码，需要增强了解！不然对扫描结果的分析，仅停在表面程度上。
3.希望公司能提供一定的学习平台，一个人的学习毕竟局限性！效果太不明显。

ps：谁对安全性测试比较了解，请和我联系，想学习这块！

楼兰肥肥 发表于 2013-7-12 10:51:29

安全新进小白。。

msnshow 发表于 2011-1-16 10:57:49

安全策略很重要

he_jian 发表于 2011-1-19 14:47:15

我用这个软件用了好几 天了，有时间和你交流

flowingcloud 发表于 2011-1-21 16:30:19

分析的很到位。安全测试是个长期学习的过程。知识面很广

v522zy 发表于 2011-3-4 12:20:36

这几天有安全性测试方面的项目，使用APPSCAN 8.0进行测试。。。


共同学习啊，，

v_v 发表于 2011-5-15 15:44:26

谢谢，希望能多给些我这种新手建议。

asks_zhuang 发表于 2011-6-6 23:20:17

4.SQL 盲注
登录时，能扫描出用户的用户名和密码！但我查看了例如QQ,网易的邮箱登录后，利用抓包工具都能抓出“密码”出来！


2.APPSCAN使用问题
1.解决的问题
先前在web中，登录邮箱不能扫描到具体的模块，提示不在会话环境中。可以通过加域然后进行手动搜索来解决。例如在域中加入：g0.mail.10086ts.cn.
wap可以用开发提供的链接地址，然后手动搜索来扫描具体模块的URL

2.未解决的问题


先简单回答下，你的测试，没有登陆成功，可以参照下login expert这个小工具，其可以辅助AppScan工作，看如何设置登陆，哪些参数需要关联等。
安全测试，工具是实现思想的手段，了解下安全测试的领域知识是很需要的。
扫描中，自动提示和推荐的记录两种扫描方式依然会报不在会话环境中

msnshow 发表于 2011-6-9 21:32:12

的确和性能测试一样，工具只是帮你完成你要做的事，你要怎么做，还是得先搞清楚

sky8848 发表于 2011-6-24 14:09:06

也在做呵呵。。。。巧合。。。

hanguolong21 发表于 2011-9-2 14:38:39

AppScan 资料的确比较少，我也在找！

106911611 发表于 2011-12-5 14:56:42

无头绪学习中

k1132 发表于 2011-12-23 17:24:18

学习中

moyiyun 发表于 2012-1-9 14:14:35

安全测试确实需要长期作战，一个人自学感觉效率不是很高！

zhuhongbao 发表于 2012-3-1 11:22:44

回复 1# cm5122590
也在进行安全性测试的研究。希望可以一起探讨下。。QQ：594189019

heavily_51t 发表于 2012-12-24 10:50:45

回复 14# zhuhongbao


楼上的QQ加不了:$

天士 发表于 2013-6-5 15:13:09

都互相学习下

云层 发表于 2013-7-12 11:28:13

appscan就不需要什么所谓的学习资料，问题都是在于你并不知道所谓的安全策略是什么，工具帮你自动做了，你自然不明白为啥是个漏洞。

上手直接用工具就是这样的，多学学安全知识吧。

libingyu135 发表于 2014-1-16 16:03:53

看了几天，确实觉得难以着手啊，还得继续努力

mr.bee 发表于 2014-1-22 16:43:18

其实appscan的标准版真的好简单，有什么问题看帮助都能解决，帮助文档写得非常的详细

查看完整版本: 对appscan做了2天安全性测试后的总结