APPScan扫描器

news/2024/11/26 11:10:47/

简介

IBM出品,可以扫描常见web应用安全漏洞。APPScan支持黑盒测试和白盒测试(代码审计)。

原理

首先根据起始页面爬取站下所有可见页面,同时测试常见管理后台。获得页面之后使用SQL注入原理进行测试是否存在注入点一级跨站脚本攻击可能,同时对cookie、session、会话周期等web安全漏洞进行检测。AppScan功能强大。支持登录功能、报表、详细漏洞原理、修改建议、手动验证等功能。但是APPScan价格十分昂贵。
在这里插入图片描述

工作方式

1,静态分析(static)即源代码分析
2,动态分析(Dynamic)
3,混合分析(Hybrid)
4,run-time运行时分析(玻璃盒)
5,Client-Side客户端分析(Javascript)

扫描流程

扫描配置:范围限制、登录序列、表单过滤、客户化参数、扫描专家、玻璃盒子代理
探索(爬网):应用台所、技术结构对应、手动探索、多步骤操作
测试:预探测技术、自动测试、手动测试、问题确认
结果:结果展示、互动报告、修复建议、可打印报告、发布到问题追踪系统

安装

1,安装 .net framework 4.5
2,正常安装文件
3,LicenseProvider.dll破解版替换原始文件就行了

使用

1,可以使用代理
2,最好使用代理来做
3,最好使用记录来使用,使用内置浏览器来记录所有操作。

渗透测试过程

手动爬虫 --> 自动爬虫 --> 扫描
扫描完成后,可以查看问题

测试结果

APPScan扫描结果有大部分cve漏洞,而且很详细,对很多漏洞还会有原理介绍。
扫描结果中,白色i代表信息收集,info;黄色i代表警告;红色i代表严重;可以自己右键调节。

APPScan手动测试

1,首先使用APPScan对系统进行扫描
2,根据扫描出来的漏洞,右键漏洞,点手动测试,可以手动复现
在这里插入图片描述
3,使用powertools – http request editor,需要自己来构造request头。使用未经处理需要自己来输入,使用已解析可以从已解析来更新。已解析使用键值对来显示。

首选项 preference (application)

里面有很多东西,可以增加或删除,设置是否执行(true of false)

帮助文档

扫描配置

定义第三方组件、数据库类型、站点位置、站点类型、排除路径文件、破坏性等信息。
探索选项中,有探索方法(包括宽度优先或深度优先,默认是宽度优先)
可设置是否有flash,如果勾选,速度会慢很多。
自动表单填充:对特定的get或者post请求参数,会使用这个选项来自动填充。
测试策略可以改自己的策略,如需要测试什么,不需要测试什么等。高危险级别都可以自己来改。测试策略支持正则表达式

AWS小工具 Power Tools

auth tester

1,设置进入到网址,输入账号和密码。让系统找到对应的信息。
2,设置登录成功的特征和登陆失败的特征
3,设置网站爆破方式,一般都是字典来爆破
4,也可以选择自动生成的密码字典表,来攻击

connection tools(相当于ping)

encoder和decoder

自动变换编码。设置方便

正则表达式设置

HTTP Request Editor

序列分析器(10版本已经去了)

Glassbox(支持java和.net 10也没有了)

使用黑盒测试+白盒测试,能很精准的找到漏洞。

报告

可以基于模板,可以自定义。使用很简单。直接在界面上点报告。有行业标准、自定义、安全性、合规性、行业一致性等。


http://www.ppmy.cn/news/245293.html

相关文章

2021年全球与中国机场全身扫描仪行业市场规模及发展前景分析

2021年全球与中国机场全身扫描仪行业市场规模及发展前景分析 本报告研究全球与中国市场机场全身扫描仪的发展现状及未来发展趋势,分别从生产和消费的角度分析机场全身扫描仪的主要生产地区、主要消费地区以及主要的生产商。重点分析全球与中国市场的主要厂商产品特点…

中国三维激光扫描仪市场趋势报告、技术动态创新及市场预测

三维激光扫描仪市场的企业竞争态势 该报告涉及的主要国际市场参与者有Faro、Trimble、Topcon、Hexagon (Leica)、Nikon Metrology、Creaform (AMETEK)、Teledyne Optech、ZF GmbH、Maptek、Kreon Technologies、Shapegrabber、Surphaser、Riegl、3D Digital、Carl Zeiss等。这些…

WEB常见的扫描器具体使用方法

常用的WEB扫描器 1.awvs(Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞,现已更新到10) 下载地址:链接:https://pan.baidu…

2022-2028全球单能X射线行李扫描器行业调研及趋势分析报告

据恒州诚思调研统计,2021年全球单能X射线行李扫描器市场规模约 亿元,2017-2021年年复合增长率CAGR约为%,预计未来将持续保持平稳增长的态势,到2028年市场规模将接近 亿元,未来六年CAGR为 %。 本文调研和分析全球单能X射…

java扫描文件内容吗_java:怎么将扫描仪记录的数据保存在文件里面。

importjava.util.Scanner;classPeople{//定义一个People类,Stringname;//姓名Stringtel;//Stringgoods;//存储物品doublegoodsPrice;//物品价格publicPeople(Stringname,Stringtel,Str... import java.util.Scanner; class People{ //定义一个People类, String name;//姓名 Str…

2022-2028全球多能X射线行李扫描器行业调研及趋势分析报告

据恒州诚思调研统计,2021年全球多能X射线行李扫描器市场规模约 亿元,2017-2021年年复合增长率CAGR约为%,预计未来将持续保持平稳增长的态势,到2028年市场规模将接近 亿元,未来六年CAGR为 %。 本文调研和分析全球多能X射…

本质安全扫描仪行业研究及十四五规划分析报告

2021年全球本质安全扫描仪市场规模大约为 亿元(人民币),预计2028年将达到 亿元,2022-2028期间年复合增长率(CAGR)为 %。未来几年,本行业具有很大不确定性,本文的2022-2028年的预测数…

全球与中国兽医计算机断层扫描 (CT) 扫描仪市场深度研究分析报告

【报告篇幅】:94 【报告图表数】:135 【报告出版时间】:2021年1月 报告摘要 2021年全球兽医计算机断层扫描 (CT) 扫描仪市场销售额达到了 亿美元,预计2028年将达到 亿美元,年复合增长率(CAGR&#xff0…