51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 971|回复: 0
打印 上一主题 下一主题

[资料] AppScan web安全测试神器的初步认识

[复制链接]
  • TA的每日心情
    擦汗
    昨天 09:04
  • 签到天数: 1047 天

    连续签到: 5 天

    [LV.10]测试总司令

    跳转到指定楼层
    1#
    发表于 2022-8-18 10:10:23 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    摘要:AppScan,即 AppScan standard edition。其安装在 Windows 操作系统上,可以对网站等 Web 应用进行自动化的应用安全扫描和测试。是 IBM 公司的 Web 扫描工具,对网站等 Web 应用进行自动化的应用安全扫描和测试。APPScan 的工作原理  1、通过“探索”功能,利用HTTP Request和Response的内容,爬行出指定网站的整个 Web 应用结构2、AppScan 本身有一个内置的漏洞扫描的规则库,可随版本进行更新。从探索出的 url 中,修改参数 or 目录名等方式,构造不同的 url 对照组向服务器发送请求 or 攻击3、根据 HTTP Response 返回的内容,和正常请求所返回的响应作对比,是否产生差异性,而这种差异性又是否符合扫描规则库的设定规则,以此来判断是否存在不同类型的安全漏洞4、若 APPScan 可判断存在安全漏洞,则对这些漏洞的威胁风险给出说明,进行严重程度提示,并给出修复的建议和方法,以及漏洞发现的位置提示。
      安装
      直接点击即可开始安装,打开之后的界面:


    这里显示无许可证:

    破解(这里使用的是吾爱破解的方法,但是没能成功。

    扫描
      在正式开始之前需要现将结果保存下来,然后就开始了:
      ·appscan 的规则是先爬虫后扫描

    点击问题则会显示当前存在的问题:

    扫描完成之后将结果进行保存。


    appscan 反制
      早些时候,由于 Chrome 出现的 V8 引擎漏洞,这一漏洞出现导致了一列的攻击链:微信点击特定链接就中马。而其中在一公众号文章上看到了利该漏洞能够对 appscan 进行反制,但是我并没有复现成功该漏洞,而且其他人也没能复现成功。



    本帖子中包含更多资源

    您需要 登录 才可以下载或查看,没有帐号?(注-册)加入51Testing

    x
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏
    回复

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-16 13:01 , Processed in 0.066597 second(s), 25 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表