安全测试三部曲之APPScan介绍
上面我们主要接触了网络安全相关的案例讲解,了解了大概的网络攻击方式,那我想问下,现在我们该如何开展一个软件的安全测试?
难道我们现在需要进行每个接口
|
安全测试三部曲之APPScan介绍 上面我们主要接触了网络安全相关的案例讲解,了解了大概的网络攻击方式,那我想问下,现在我们该如何开展一个软件的安全测试?
难道我们现在需要进行每个接口的扫描,sql注入测试,针对前段做XSS攻击,针对cookie做csrf攻击吗?NO 接下来给请出我们今天的主角APPSCan
1、AppScan是什么? AppScan是IBM的一款web安全扫描工具,可以利用爬虫技术进行网站安全渗透测试,根据网站入口自动对网页链接进行安全扫描,扫描之后会提供扫描报告和修复建议等。 AppScan有自己的用例库,版本越新用例库越全(用例库越全面,对漏洞的检测较全面,被测试系统的安全性则越高) 工作原理: 1)通过探索了解整个web页面结果 2)通过分析,使用扫描规则库对修改的HTTP Request进行攻击尝试 3)分析 Response 来验证是否存在安全漏洞 2、AppScan破解并添加许可证 大家可以看到附件中有提供的appscan安装包,按照如下步骤进行使用 (1)安装文件下载解压后显示AppScanStandard.txt和rcl_rational.dll文件
(2)把文件(AppScanStandard.txt和rcl_rational.dll)复制到AppScan安装地址的文件夹下 (3)添加许可证书: 打开AppScan,点击帮助-许可证; 选择“打开Appscan License Manager...”; 点击“许可证配置-节点锁定许可证文件-+”,选择AppScanStandard.txt作为许可证; 保存,即可完成激活授权。 AppScan的使用步骤 (1)启动AppScan扫描工具,点击文件-新建;
(2)测试网站信息,选择“扫描Web应用程序”,在文本框中输入应用程序的 URL,如果成功,那么在“起始 URL”下将显示绿色复选标记和“已连接到服务器”确认。
(3)单击下一步。进入“登录管理”步骤。 记录:如果选择该选项,那么 AppScan? 将使用所记录的登录过程,从而像实际用户一样填写字段并单击链接。 自动:如果 AppScan 可仅使用名称和密码来登录,而不需要特定的过程,请选择该选项,然后输入“用户名”和“密码”。如果每次登录都需要人机交互(如双因素认证、一次性密码或 CAPTCHA),请选择“提示”选项。 提示:在这种情况下,您必须仍然记录登录过程。虽然 AppScan 将不会使用您记录的过程来尝试登录,但是它需要将该过程作为参考来了解何时已被注销。 无:仅当应用程序不需要登录时,或因为其他原因,您不想 AppScan 登录时,才选择该选项
(4)单击下一步,进入“测试策略”步骤;扫描限制为所需的特定类型的测试可以缩短扫描时间。 扫描期间,AppScan? 发送的测试数量可以达到数千。有时,最好将扫描限制在仅扫描特定类型,以减少扫描时间。这是“测试策略”。 过程: 检查“测试策略”是否适合您的需要。(如果您不能肯定,请保持“缺省测试策略”。) 要装入其他“测试策略”,请单击策略文件窗格中其中一个“预定义策略”或“最新策略”。 将测试发送到登录和注销页面:缺省情况下,AppScan 将测试登录和注销页面以及应用程序的其余部分。您应该保持该缺省配置,除非: 您的应用程序具有安全保护,可阻止在这些页面上提供非法输入的用户 如果测试这些页面,您的应用程序流程会改变,如果不确定您的应用程序会如何响应这些测试,那么请保持选定该选项。
(5)单击下一步,进入“测试优化”步骤;通过“测试优化”,可以利用正在进行的统计分析来加快扫描速度。
6)单击下一步,进入“完成”步骤;将决定如何以及何时启动已配置的扫描。
(7)单击完成;将决定如何以及何时启动已配置的扫描; 完成中的选项分析: 启动全面自动扫描:启动应用程序的全面扫描(“探索”后将立即进行“测试”)。 使用仅自动“探索”来启动:探索应用程序,但不继续“测试”阶段。(可以稍后运行“测试”阶段)。 使用手动探索来启动:浏览器将打开,并且您可以通过单击链接并填写字段来手动探索站点。AppScan 将记录结果,以便在“测试”阶段使用。 我将稍后启动扫描:关闭向导,不启动扫描。下次启动扫描时网站安全扫描,会使用该模板。 (编辑:武汉站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
