51Testing软件测试论坛

标题: 对appscan做了2天安全性测试后的总结 [打印本页]
作者: cm5122590    时间: 2011-1-13 13:17
标题: 对appscan做了2天安全性测试后的总结
最近抽了2天时间研究了下appscan工具,针对登录这个简单的操作流程进行了下扫描。根据这2天对扫描结果的阅读和对安全性测试与业内人士的交流,下面总结了几点自己个人的想法(仅限于个人想法),呵呵!

1.appscan扫描出的问题
  1.跨站点脚本攻击(http://g2.mail.10086ts.cn/serviceapi/CommonRequest.ashx
针对http://g2.mail.10086ts.cn/serviceapi/CommonRequest.ashx?sid=>"'><script>alert(1292)</script>&r=>"'><script>alert(1292)</script>&mobile=>"'><script>alert(1292)</script>&reqtype=>"'><script>alert(1292)</script>
进行改动,可以直接跳转到指定的网站
http://g2.mail.10086ts.cn/serviceapi/CommonRequest.ashx?sid=>"'><script>alert(1292)</script>&r=>"'><script>alert(1292)</script>&mobile=>"'><script>alert(1292)</script>&reqtype=>"'><script>window.location="http://www.baidu.com";</script>

2.检测到敏感文件和隐藏目录
  例如:http://g2.mail.10086ts.cn/addr/apiserver/
  这样的目录很多,修改的建议是:将 Web 服务器配置成拒绝列出目录

3.web应用程序源代码泄露
  扫描出部分js文件中含有程序源代码,例如;CookieUtils.js

4.SQL 盲注
  登录时,能扫描出用户的用户名和密码!但我查看了例如QQ,网易的邮箱登录后,利用抓包工具都能抓出“密码”出来!


2.APPSCAN使用问题
1.解决的问题
先前在web中,登录邮箱不能扫描到具体的模块,提示不在会话环境中。可以通过加域然后进行手动搜索来解决。例如在域中加入:g0.mail.10086ts.cn.
wap可以用开发提供的链接地址,然后手动搜索来扫描具体模块的URL

2.未解决的问题
扫描中,自动提示和推荐的记录两种扫描方式依然会报不在会话环境中。

3.困难
网上相关的appscan资料太少。做相关工作的人也不多。遇到问题没人咨询,感觉闭门造车。


3.  对安全性测试的认识:
1.安全性测试,其实应该在开发编程中就进行投入。例如在咱公司项目里程碑的基础上,加入安全性验证这环!做安全性,应该开发先具备安全编程的知识

2.appscan不足点:在开发编码完成后,才进行验证。已经错过了最佳修正时期

3.经过这次对appscan和安全性的研究,发现安全性测试是一个学习成本很高的东东!消耗时间相当长。首先你需要对编程知识有一定的了解,各门语言!然后对常规
漏洞攻击方式和攻击工具都具备一定的执行能力,例如:sql注入.跨站,XSS攻击。最主要的是对公司的代码有一定深度的了解,不然和开发交流的时候,不能使其信服。(不说比开发了解,但不能比开发差)。如果单只是用扫描工具进行扫描,自动生成报告,丢给开发,觉得安全性工作效果不大。

  4.扫描工具结果的理解!针对扫描出来的漏洞,单作为测试人员理解比较困难,需要经验的积累和知识的补给!appcan工具只是提供了一个安全改进的参考,重点还在于漏洞的修复

4.工作的改进
1.先前一直在做appscan的工具研究,忽视了安全性测试基础知识的巩固。
2.对公司各个模块的流程和代码,需要增强了解!不然对扫描结果的分析,仅停在表面程度上。
3.希望公司能提供一定的学习平台,一个人的学习毕竟局限性!效果太不明显。

ps:谁对安全性测试比较了解,请和我联系,想学习这块!
作者: msnshow    时间: 2011-1-16 10:57
安全策略很重要
作者: he_jian    时间: 2011-1-19 14:47
我用这个软件用了好几 天了,有时间和你交流
作者: flowingcloud    时间: 2011-1-21 16:30
分析的很到位。安全测试是个长期学习的过程。知识面很广
作者: v522zy    时间: 2011-3-4 12:20
这几天有安全性测试方面的项目,使用APPSCAN 8.0进行测试。。。


共同学习啊,,
作者: v_v    时间: 2011-5-15 15:44
谢谢,希望能多给些我这种新手建议。
作者: asks_zhuang    时间: 2011-6-6 23:20
4.SQL 盲注
  登录时,能扫描出用户的用户名和密码!但我查看了例如QQ,网易的邮箱登录后,利用抓包工具都能抓出“密码”出来!


2.APPSCAN使用问题
1.解决的问题
先前在web中,登录邮箱不能扫描到具体的模块,提示不在会话环境中。可以通过加域然后进行手动搜索来解决。例如在域中加入:g0.mail.10086ts.cn.
wap可以用开发提供的链接地址,然后手动搜索来扫描具体模块的URL

2.未解决的问题


先简单回答下,你的测试,没有登陆成功,可以参照下login expert这个小工具,其可以辅助AppScan工作,看如何设置登陆,哪些参数需要关联等。
安全测试,工具是实现思想的手段,了解下安全测试的领域知识是很需要的。
扫描中,自动提示和推荐的记录两种扫描方式依然会报不在会话环境中
作者: msnshow    时间: 2011-6-9 21:32
的确和性能测试一样,工具只是帮你完成你要做的事,你要怎么做,还是得先搞清楚
作者: sky8848    时间: 2011-6-24 14:09
也在做呵呵。。。。巧合。。。
作者: hanguolong21    时间: 2011-9-2 14:38
AppScan 资料的确比较少,我也在找!
作者: 106911611    时间: 2011-12-5 14:56
无头绪学习中
作者: k1132    时间: 2011-12-23 17:24
学习中
作者: moyiyun    时间: 2012-1-9 14:14
安全测试确实需要长期作战,一个人自学感觉效率不是很高!
作者: zhuhongbao    时间: 2012-3-1 11:22
回复 1# cm5122590
也在进行安全性测试的研究。希望可以一起探讨下。。QQ:594189019
作者: heavily_51t    时间: 2012-12-24 10:50
回复 14# zhuhongbao


楼上的QQ加不了
作者: 天士    时间: 2013-6-5 15:13
都互相学习下
作者: 楼兰肥肥    时间: 2013-7-12 10:51
安全新进小白。。
作者: 云层    时间: 2013-7-12 11:28
appscan就不需要什么所谓的学习资料,问题都是在于你并不知道所谓的安全策略是什么,工具帮你自动做了,你自然不明白为啥是个漏洞。

上手直接用工具就是这样的,多学学安全知识吧。
作者: libingyu135    时间: 2014-1-16 16:03
看了几天,确实觉得难以着手啊,还得继续努力
作者: mr.bee    时间: 2014-1-22 16:43
其实appscan的标准版真的好简单,有什么问题看帮助都能解决,帮助文档写得非常的详细
作者: yangtao815    时间: 2014-3-14 14:28
我有8.8的破解包,扣扣 1276016688
作者: Miss_love    时间: 2014-5-15 08:57
学习这款软件中
作者: qqp74267426    时间: 2016-4-8 14:25
          我现在正在下载那个appscan,下载了几次总感觉打不开呀 ,这是怎么回事呀,这个工具我一直没有用过呢,请各位大神帮忙
作者: tanshunsky    时间: 2016-5-25 14:28
我测试的时候,也会提示不在会话环境中,最后发现网站都连接不上了,不知道是不是appscan攻击造成的!
作者: lstaye    时间: 2016-7-25 16:00
tanshunsky 发表于 2016-5-25 14:28
我测试的时候,也会提示不在会话环境中,最后发现网站都连接不上了,不知道是不是appscan攻击造成的!

我也遇到这种情况,过一段时间网站又可以连接了
作者: tanshunsky    时间: 2016-7-26 15:02
请问你说用抓包工具抓QQ、网易的密码,我怎么抓不到QQ密码啊,你用的是什么工具呢,我用的是fiddler
作者: nobodysz    时间: 2016-8-25 10:22
楼主对第四点sql盲注理解有误,sql盲注是属于sql注入的一种,属于没有回显的注入,而楼主所说的抓到密码是指 表单密码未经加密明文传输
作者: dmj0909    时间: 2016-8-30 15:15
我也是安全测试的小白,之前用那个hp的webinspect做安全测试,一头雾水啊,而且是纯英文版,导出报告来,有漏洞也看不太懂。。。。然后看大家都用那个APPscan,可是我都找不到破解版。。。我也是一个人学,感觉好艰难啊,网上资料确实很少。。。谁能给我个破解版的appscan啊?感激不尽~
作者: wangqiang88    时间: 2016-10-5 09:54
我在网上搜索了一个9.0版本的,破解后是可以用,你多在网上找找
作者: 飘落的记忆    时间: 2017-1-12 15:08
小白
作者: 赵赵233    时间: 2017-3-1 11:02
楼主现在有完整的学习资料么,虽然已经过了好多年,但还是觉得资料很少
作者: xiaoxiaohouzi    时间: 2017-4-27 15:10
lstaye 发表于 2016-7-25 16:00
我也遇到这种情况,过一段时间网站又可以连接了

我也是,老是提示连不上,我单独去连那个url也连不上,让公司开发看了,说是网络问题,但是过一会自然又可以了,等到可以连的时候,我一扫描又提示断了!无语中。。。。。。
作者: zhouqihua_2000    时间: 2017-8-31 14:54
好东西,值得学习



欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/) Powered by Discuz! X3.2