AppScan是IBM公司出的一款Web应用安全测试工具,
AppScan采用黑盒测试的方式,
可以扫描常见的web应用安全漏洞。
工作原理
首先是根据起始页爬取站下所有可见的页面,同时测试常见的管理后台;
获得所有页面之后利用SQL注入原理进行测试是否存在注入点以及跨站脚本攻击的功能;
同时还会对cookie管理、会话周期等常见的web安全漏洞进行检测。AppScan功能十分齐全,支持登录功能并且拥有十分强大的报表。在扫描结果中,不仅能够看到扫描的漏洞,还提供了详尽的漏洞原理、修改建议、手动验证等功能。
AppScan的缺点在于,作为一款商业软件,价格十分昂贵。
适用对象
适用于任何企业的内网、外网和面向客户、厂商和其它人员的Web网站
法律规定
中华人民共和国刑法
第二百八十五条
第二百八十六条
第二百八十七条
AppScan的安装
AppScan作为一款集成的工具跟其他常见工具安装一样,基本就是直接下一步即可。
安装前需要依赖.net framework 4.5
AppScan约800M
AppScan扫描实例演示
使用配置向导
通过配置向导来完成一次简单的扫描
扫描的网站:http://testasp.vulnweb.com/
PS:请勿随意扫描互联网上的中小企业网站!
配置向导的缺点
简单的配置,可能无法找到所有的网页。
例如:类似业务逻辑,转账之类的功能点。
转账成功的页面扫描器是无法到达的。
或者AppScan自带的浏览器无法打开某些网页。
其他功能
1.web service扫描
2.玻璃盒扫描技术
3.记录代理功能
Author: 云亦然
Link: http://JaneBraun.github.io/2019/01/15/网络安全之安全测试工具AppScan/
Copyright: All articles in this blog are licensed under CC BY-NC-SA 3.0 unless stating additionally.