工具用途?
IBM公司的web扫描工具,对网站等WEB应用进行自动化的应用安全扫描和测试。
如何工作?
探索(Explore):在探索阶段,Appscan试图遍历网站中所有可用的链接,并建立一个层次结构。它发出请求,并根据响应来判断哪里是一个漏洞的影响范围。例如,看到一个登陆页面,它会确定通过绕过注入来通过验证.在探索阶段不执行任何的攻击,只是确定测试方向。这个阶段通过发送的多个请求确定网站的结构和即将测试的漏洞范围。
测试(Test):在测试阶段,Appscan通过攻击来测试应用中的漏洞.通过释放出的实际攻击的有效载荷,来确定在探索阶段建立的安全漏洞的情况,并根据风险的严重程度排名。在测试阶段可能会发现网站的新链接,因此Appscan在探索和测试阶段完成之后会开始另一轮的扫描,并继续重复以上的过程,直到没有新的链接可以测试。扫描的次数也可以在用户的设置中配置。
- 获取appscan最新安装包。
2、安装步骤:
a.安装appscan9.0.1软件:运行“APPSCAN_STD_901_EVA_WIN_ML.exe”。
b.安装appscan9.0.1.1补丁包,运行“9.0.1.1-AppScan.msp”。
c.破解,将“LicenseProvider.dll”替换到“\AppScan Standard”目录下。
d.可选“SEC_WEB_SER_EXP_901_ML_EVA.exe”
3、使用说明
【创建扫描任务】
【常规扫描】
【自动或手动探索】
【扫描起始URL】
【记录(推荐)】
【使用Appscan浏览器(推荐)】
【输入用户名和密码】登录成功后关闭浏览器
【测试策略】
【手动探索】
【访问URL】
【登录系统】
【探索结束关闭浏览器】
【添加所有URL】
【扫描专家】
【忽略专家建议】
【执行扫描】
【选择报告内容】
【保存报告】
【查看报告】
注意事项:
1. 登录管理以及登录状态检验
登录方法,采用记录(推荐)的方式
2. 环境定义
尽量提供准确,Appscan会根据这些环境准备特定测试用例
3. 参数和cookie
要跟开发确认是否有些导航参数,譬如struct中的action参数,要在此做特定设置
http://domain:port/Apple
http://domain:port/Apple?ID=1
http://domain:port/Apple?ID=2
http://domain:port/Apple?Action=Delete
http://domain:port/Apple?Action=Add
4. 通信和代理
超时尽量放大
5. 探索方式
目前页面很多都是js计算出来的跳转,利用Appscan自动探索很难找全页面,尽量手工探索所有页面。
6. Other tips
a) Appscan很多工具不错,譬如Traffic Viewer,尽量采用这个工具来观察Appscan测试的HTTP请求和响应,如果响应是500的话,要具体分析,是否是超时等,如果是超时的话,尽量降低线程数量,提高超时设置。
Traffic Viewer安装路径:
D:\Program Files (x86)\IBM\AppScan Standard\Tools\Traffic Viewer