web安全测试---AppScan扫描工具
发布时间:2022-12-08 15:33:47 所属栏目:安全 来源:
导读: 安全测试应该是测试中非常重要的一部分,但他常常最容易被忽视掉。
尽管国内经常出现各种安全事件,但没有真正的引起人们的注意。不管是开发还是测试都不太关注产品的安全。当然,因为公司的所给我们的时
尽管国内经常出现各种安全事件,但没有真正的引起人们的注意。不管是开发还是测试都不太关注产品的安全。当然,因为公司的所给我们的时
|
安全测试应该是测试中非常重要的一部分,但他常常最容易被忽视掉。 尽管国内经常出现各种安全事件,但没有真正的引起人们的注意。不管是开发还是测试都不太关注产品的安全。当然,因为公司的所给我们的时间与精力只要求我们对产品的功能的实现以及保证功能的正常运行。一方面出于侥幸心理,谁没事会攻击我? 网站安全扫描器_超市扫描收钱条码器_扫描2维码器下载 关于安全测试方面的资料也很少,很多人所知道的就是一本书,一个工具。 一本书指《web安全测试》,这应该是安全测试领域维数不多又被大家熟知的安全测试书,介绍了许多安全方面的工具和知识。 一个工具,其实本文也只是想介绍一下,这个工具----AappScan,IBM的这个web安全扫描工具被许多人熟知,相关资料也很多。AappScan是一个,当时就觉得这工具这么强大,而且还使用比较容易上手。 网站安全扫描器_扫描2维码器下载_超市扫描收钱条码器 AappScan下载与安装 IBM官方下载: 破解补丁: 破解补丁中有相应的注册机与破解步骤,生成注册码做一下替换就OK了。 AppScan其实是一个产品家族,包括众多的应用安全扫描产品,从开发阶段的源代码扫描的AppScan source edition,到针对WEB应用进行快速扫描的AppScan standard edition.以及进行安全管理和汇总整合的AppScan enterprise Edition等,我们经常说的AppScan就是指的桌面版本的AppScan,即AppScan standard edition.其安装在Windows操作系统上,可以对网站等WEB应用进行自动化的应用安全扫描和测试。 超市扫描收钱条码器_扫描2维码器下载_网站安全扫描器 使用AppScan来进行扫描 我们按照PDCA的方法论来进行规划和讨论; 建议的AppScan使用步骤:PDCA: Plan,Do,check, Action and Analysis. 计划阶段:明确目的,进行策略性的选择和任务分解。 1) 明确目的:选择合适的扫描策略 2) 了解对象:首先进行探索,了解网站结构和规模 3) 确定策略:进行对应的配置 a) 按照目录进行扫描任务的分解 b) 按照扫描策略进行扫描任务的分解 执行阶段:一边扫描一遍观察 4) 进行扫描 5) 先爬后扫(继续仅测试) 检查阶段(Check) 6) 检查和调整配置 网站安全扫描器_超市扫描收钱条码器_扫描2维码器下载 结果分析(Analysis) 7) 对比结果 8) 汇总结果(整合和过滤) AppScan的工作原理 当我们单击“扫描”下面的小三角,可以出现如下的三个选型“继续完全扫描”,“继续仅探索”,“继续仅测试“,有木有?什么意思? 理解了这个地方,就理解了AppScan的工作原理,我们慢慢展开: 还没有正式开始,所以先不管“继续“,直接来讨论’完全扫描”,“仅探索”,“仅测试”三个名词: AppScan是对网站等WEB应用进行安全攻击,通过真实的攻击,来检查网站是否存在安全漏洞;既然是攻击,肯定要有明确的攻击对象。对网站来说,一个网站存在的页面,可能成千上万。每个页面也都可能存在多个字段(参数),比如一个登陆界面,至少要输入用户名和密码,这就是一个页面存在两个字段,你提交了用户名密码等登陆信息,网站总要有地方接受并且检查是否正确,这就可能存在一个新的检查页面。这里的每个页面的每个参数都可能存在安全漏洞,所有都是被攻击对象,都需要来检查。 这就存在一个问题,你领命来检查一个网站的安全性,这个网站有多少个页面,有多少个参数,页面之间如何跳转,你可能很不明确,如何知道这些信息? 看起来很复杂,盘根错节;那就更需要找到那个线索,提纲挈领; 那就想一想,访问一个网站的时候,我们需要知道的最重要的信息是哪个?网站主页地址吧? 从网站地址开始,很多其他频道,其他页面都可以链接过去,对不对,那么可不可以有种技术,告诉了它网站的入口地址,然后它“顺藤摸瓜”,找出其他的网页和页面参数? OK,这就是”爬虫” 技术,具体说,是”网站爬虫“,其利用了网页的请求都是用http协议发送的,发送和返回的内容都是统一的语言HTML,那么对HTML语言进行分析,找到里面的参数和链接,纪录并继续发送之,最终,找到了这个网站的众多的页面和目录。这个能力AppScan就提供了,这里的术语叫“探索”,explorer,就是去发现,去分析,了解未知的,记录。 在使用AppScan的时候,要配置的第一个就是要检查的网站的地址,配置了以后,AppScan就会利用“探索”技术去发现这个网站存在多少个目录网站安全扫描器,多少个页面,页面中有哪些参数等,简单说,了解了你的网站的结构。 “探索”了解了,测试的目标和范围就大致确定了,然后呢,利用“军火库”,发送导弹,进行安全攻击,这个过程就是“测试”;针对发现的每个页面的每个参数,进行安全检查,检查的弹药就来自AppScan的扫描规则库,其类似杀毒软件的病毒库,具体可以检查的安全攻击类型都在里面做好了,我们去使用即可。 那么什么是“完全测试呢”,完全测试就是把上面的两个步骤整合起来,“探索”+ “测试”;在安全测试过程中,可以先只进行探索,不进行测试,目的是了解被测的网站结构,评估范围; 然后选择“继续仅测试”,只对前面探索过的页面进行测试,不对新发现的页面进行测试。“完全测试”就是把两个步骤结合在一起,一边探索,一边测试。 (编辑:航空爱好网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐