Web应用探测(AppScan使用)

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Web应用探测(AppScan使用)相关的知识,希望对你有一定的参考价值。

参考技术A 安装AppScan,如果系统是win10,不用安装.net,win10自带的里面有.net

如果不是win10系统,需要安装.net

安装的时候杀毒软件要关掉,要不会杀掉杀毒软件里的一些工具

安装

在安装包中找到文件,复制替换到安装路径里

还需要破解,打开下图里面的“打开 AppScan。。。”

许可证配置

导入以后,任何ip和主机都可以用了,没有任何限制

演示:

打开虚拟机2003系统,IIS服务器管理,找到之前搭建的网站,右击属性,把ip地址改成自己物理主机的ip一直的地址,确保在物理机能打开网站

选中网站,找到index.asp,右击浏览,复制域名,显示已连接到服务器

如果只针对一个目录下进行扫描不扫描其他的 就不用勾选上面的

很多企业网站带登录的,很多企业不会告诉你账号密码,需要我们自己注册账号密码,注册不了的只能暴力破解

如果甲方企业强调了不允许登陆扫描直接选无就可以

我们的网站需要再域名加上admin账户,账号密码都是admin 登录

点我已登录到站点

这个会记录扫描过程

默认Default 选 完全扫描配置

漏洞库  需要什么漏洞就勾选什么

一般不选仅使用自动探测扫描

下面的全面专家不用选择  这个是扫着扫着又跑到二级域名去探测了,不要勾选



左面是我们扫出来的网站数据,扫描时间可能长一点,扫描完之后点问题,会把有漏洞的自己罗列出来

生成报告的时候选定一个站点,要不数据太大没时候生成完

以上是关于Web应用探测(AppScan使用)的主要内容,如果未能解决你的问题,请参考以下文章

Web漏洞扫描-Appscan安装配置及扫描

Appscan使用说明

IBM Rational AppScan使用详细说明

AppScan入门工作原理详解

AppScan使用教程

AppScan简单应用