1.Appscan工具的使用

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了1.Appscan工具的使用相关的知识,希望对你有一定的参考价值。

 appscan只要关注应用层的安全问题

一,appscan扫描
1,白盒扫描=静态扫描,扫描源代码。
2,动态扫描=黑盒扫描,用工具来模拟黑客的攻击,查看应用层的响应。产品内部会有大量受攻击的库,当我们把一个模拟攻击发给我们的应用的时候,然后用工具来分析响应。

二,AppScan Web应用扫描流程
 
技术分享

技术分享
三,自动网络探索能力优势
技术分享

技术分享

四,设置配置向导
测试网址:http://demo.testfire.net/bank/login.aspx
文件----->新建----->预定义模板(选择“常规扫描"为例)----->web应用程序扫描------>输入需要测试网址
技术分享

技术分享
 
点击"记录”
技术分享
 

技术分享
Username:jsmith
password:demo1234
技术分享

技术分享

然后关闭Altoro Mutual:Online Banking Longin-Appscan 浏览器,在扫描配置向导页面的“使用以下登录序列登录应用程序”框中会显示登录的会员登录成功后的网址信息,然后点击“下一步”
技术分享

技术分享
 
再点击下一步
技术分享

技术分享
点击完成
技术分享

技术分享
选择"是“自动保存
技术分享

技术分享
保存扫描结果
技术分享

技术分享

五,web services扫描
技术分享
 

技术分享
接口测试网址:http://demo.testfire.net/transfer/transfer.asmx?wsdl


在扫描配置向导中选择通用服务客户机
技术分享
技术分享
 

设置起始URL
技术分享

技术分享
默认测试策略web  Service
技术分享

技术分享
完成
技术分享
 

技术分享

显示通用服务窗口
技术分享

技术分享

输入用户id选择调用
技术分享

技术分享

转账接口数据的输入
技术分享
 

技术分享
方法调用
技术分享

技术分享


探索完成之后关闭Generic Sercice Client窗口,appscan就会对探索的结果进行分析扫描,
然后在扫描选项中选择仅测试
技术分享

技术分享
显示扫描结果
技术分享

技术分享


六、Glass Box Scanning-架构
技术分享
技术分享
技术分享
 


技术分享

打开wed应用扫描的文件,在工具菜单选项中选择Glass box代理程序管理-----玻璃盒代理
技术分享

技术分享

可以帮助用户发现隐藏的参数,页面
技术分享
技术分享

七、记录代理





























以上是关于1.Appscan工具的使用的主要内容,如果未能解决你的问题,请参考以下文章

web漏洞扫描工具

11款常用的安全测试工具

几何画板工具箱的具体使用方法

如何更专业的使用Chrome开发者工具

微信web开发者工具怎么使用

性能优化工具-MAT的使用