AppScan 简介
AppScan 是 IBM 的一款 web 安全扫描工具,可以利用爬虫技术进行网站安全渗透测试,根据网站入口自动对网页链接进行安全扫描,扫描之后会提供扫描报告和修复建议等。
AppScan 有自己的用例库,版本越新用例库越全(用例库越全面,对漏洞的检测较全面,被测试系统的安全性则越高)
工作原理
- 通过探索了解整个 web 页面结构
- 通过分析,使用扫描规则库对修改的 HTTP Request 进行攻击尝试
- 分析 Response 来验证是否存在安全漏洞
实例演示 - 扫描网站
1.点击创建新的扫描
2.选择"常规扫描"
3.选择"AppScan"
4.填写目标 URL
5.由于需要登录,所以点击"记录",选择"AppScan IE 浏览器"
6.填写登录账号和密码,然后进行登录,登录成功后,点击"我已登陆站点"
7.等待系统记录信息完成后,如果成功会显示"已成功配置登录"
8.测试策略选择"缺省值"
9.选择"启动全面自动扫描"(新手推荐)
10.如果想保存配置文件,选择"是"
11.点击扫描选择"全自动扫描",这样就开始扫描目标网站了
12.点击"问题",就可以看到发现的漏洞
13.点击漏洞就可以看到具体信息、修订建议以及请求和响应的数据包
实例演示 - 生成报告
1.点击"报告",就可以生成本次扫描的报告
2.AppScan 集成多种行业标准的报告模板,选择你想要的报告模板,点击保存就生成了报告
