Web应用探测（AppScan使用）

Posted 2023-03-18

参考技术A 安装AppScan，如果系统是win10，不用安装.net，win10自带的里面有.net

如果不是win10系统，需要安装.net

安装的时候杀毒软件要关掉，要不会杀掉杀毒软件里的一些工具

安装

在安装包中找到文件，复制替换到安装路径里

还需要破解，打开下图里面的“打开 AppScan。。。”

许可证配置

导入以后，任何ip和主机都可以用了，没有任何限制

演示：

打开虚拟机2003系统，IIS服务器管理，找到之前搭建的网站，右击属性，把ip地址改成自己物理主机的ip一直的地址，确保在物理机能打开网站

选中网站，找到index.asp，右击浏览，复制域名，显示已连接到服务器

如果只针对一个目录下进行扫描不扫描其他的 就不用勾选上面的

很多企业网站带登录的，很多企业不会告诉你账号密码，需要我们自己注册账号密码，注册不了的只能暴力破解

如果甲方企业强调了不允许登陆扫描直接选无就可以

我们的网站需要再域名加上admin账户，账号密码都是admin 登录

点我已登录到站点

这个会记录扫描过程

默认Default 选 完全扫描配置

漏洞库  需要什么漏洞就勾选什么

一般不选仅使用自动探测扫描

下面的全面专家不用选择  这个是扫着扫着又跑到二级域名去探测了，不要勾选

是

左面是我们扫出来的网站数据，扫描时间可能长一点，扫描完之后点问题，会把有漏洞的自己罗列出来

生成报告的时候选定一个站点，要不数据太大没时候生成完