WEB安全漏洞扫描与处理(上)——安全漏洞扫描工具AppScan的安装使用

Posted cooldream2009

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了WEB安全漏洞扫描与处理(上)——安全漏洞扫描工具AppScan的安装使用相关的知识,希望对你有一定的参考价值。

很多公司对软件会有安全的要求,一般测试公司会使用安全漏洞扫描工具对软件进行漏扫,然后给出安全报告,然后软件开发人员会根据提供的安全报告进行漏洞的处理。我们接触到的测评公司,使用的是漏洞扫描工具AppScan,这里介绍一下AppScan的安装使用,以及安全报告的生成。

1漏扫工具AppScan的下载和安装

1.1 AppScan的下载

利用百度搜索Appscan,可以找到对应的资源,下载后,一般是压缩文件,大概500M左右,现在的版本是10.0,旧一些的版本9.0也可以,文件大小差不多。文件解压后,有一个安装文件,还有资料。以10.0.0版本为例,安装文件为AppScan_Setup_10.0.0.exe,文件在文件夹AppScanStdCrk中。

 

 

 打开AppScanStdCrk之后,里面有文件,AppScanStandard.txt和rcl_rational.dll。

 

 

 1.2 AppScan的安装

以管理员权限运行AppScan_Setup_10.0.0.exe,进行默认安装,通过一直点击下一步,可以完成安装。

安装后进行软件的操作。

将rcl_rational.dll复制保存到软件的安装目录C:\\Program Files (x86)\\HCL\\AppScan Standard中。

然后打开软件,选择帮助—许可证,点击下方的切换到IBM许可证,在新弹出的页面点击“打开AppScan License Manager”,然后在弹出的页面点击右上方的许可证配置,点击+号,

选择文件AppScanStandard.txt,导入文件,导入成功后确定。 

 

 

 通过替换文件,以及导入文本,软件安装成功,软件信息如下所示。

 

 

 2 AppScan的漏洞扫描过程

利用工具AppScan进行漏扫,可以自动化的对某个网站进行漏洞扫描。

比如对某个网站进行漏扫,首先点击文件—新建,选择扫描Web应用程序,然后会出现扫描配置向导。第一步确认起始URL,在文本输入栏输入要扫描的网址或网站IP,点击下一步。

 

 

 第二步是进行登录管理的设置。可以选择默认的记录方式登录到应用程序,点击记录,选择chrome(比较常用),进行登录操作,这时候工具会记录下来登录信息。然后点击下一步。

 

 

 第三步进行测试策略的选择,上方有测试策略的选择框,下方左侧是策略的列表,下方右侧是对测试策略的说明。

 

 

 第四步是测试优化的选择。

 

 

 最后一步是选择启动扫描的方式,默认是启动全面自动扫描,点击完成后,工具开始漏洞扫描。也可以选择“我将稍后启动扫描”,进行策略配置后,再进行扫描工作。

 

 

 启动扫描后,等待扫描任务完成。

3安全报告的生成

扫描完成之后,会在软件的页面显示相应的扫描结果信息,可以通过点击对应的信息点直接查看漏洞情况。

 

 

 也可以生成pdf格式的安全报告,提交给相应的人员,以便进一步的处理。点击菜单下面的工具栏的报告。

 

 

 在创建报告的页面选择安全性,然后可以选择一个模板,右侧会显示模板中包含的内容,选择详细模板,基本上会包含绝大部分内容,也可以直接在右侧勾选内容。

 

 

 选择完成后,点击保存报告,则会生成pdf安全报告。

4 结语

该部分主要对AppScan的安装、漏洞扫描以及报告生成进行了说明,是一个简易的操作描述,如果对漏洞扫描有特别要求,还需要进行测试策略的详细配置,在配置工具栏,可以看到详细的策略配置信息,后续还要介绍安全测试报告的分析,以及对应漏洞的处理。

以上是关于WEB安全漏洞扫描与处理(上)——安全漏洞扫描工具AppScan的安装使用的主要内容,如果未能解决你的问题,请参考以下文章

web安全入门-openVAS部署与设置

Web安全扫描工具-Arachni

清华大学教授撰写web网站漏洞扫描与渗透攻击工具揭秘,强烈建议新手小白领取学习,手慢无!

Web安全入门与靶场实战二- 网站扫描工具

mac下都有哪些web网站漏洞扫描的工具?

web扫描工具-Nikto介绍与使用