bump top-rsocket

在线web漏洞扫描工具
2023年4月1日发(作者:apache配置)

[Web安全测试]AppScan扫描⼯具-⼯作原理操作教程

⼀、⼀、AppScanAppScan的⼯作原理

对⼀个综合性的⼤型⽹站来说,可能存在成千上万的页⾯。以登录界⾯为例,⾄少要输⼊⽤户名和密码,即该页⾯存在两个字段,当提交了⽤户名

和密码等登录信息,⽹站需要检查是否正确,这就可能存在⼀个新的检查页⾯。这⾥的每个页⾯的每个参数都可能存在安全漏洞,可能成为被攻击

对象。AppScan正是通过按照设定策略和规则,对Web应⽤进⾏安全攻击,以此来检查⽹站是否存在安全漏洞。

在使⽤AppScan的时候,通过配置⽹站的URL⽹址,AppScan会利⽤“探索”技术去发现这个⽹站存在多少个⽬录,多少个页⾯,页⾯中有哪

些参数等,即探索出⽹站的整体结构。通过“探索”可确定测试的⽬标和范围,然后利⽤AppScan的扫描规则库,针对发现的每个页⾯的每个参

数,进⾏安全检查。

简⾔之,APPScan的⼯作原理如下:

1)通过“探索”功能,利⽤HTTPRequest和Response的内容,爬⾏出指定⽹站的整个Web应⽤结构

2)AppScan本⾝有⼀个内置的漏洞扫描的规则库,可随版本进⾏更新。从探索出的url中,修改参数or⽬录名等⽅式,构造不同的url对照组向服

务器发送请求or攻击

3)根据HTTPResponse返回的内容,和正常请求所返回的响应作对⽐,是否产⽣差异性,⽽这种差异性⼜是否符合扫描规则库的设定规则,以

此来判断是否存在不同类型的安全漏洞

4)若APPScan可判断存在安全漏洞,则对这些漏洞的威胁风险给出说明,进⾏严重程度提⽰,并给出修复的建议和⽅法,以及漏洞发现的位置

提⽰

⼆、APPScan扫描操作教程

1.打开AppScan

2.⽂件-->新建-->创建新的扫描,如:常规扫描

3.进⼊配置向导页⾯,选择Web应⽤程序扫描,点击“下⼀步”

PS:若需要使⽤WebService扫描功能,需要提前下载安装好GSCWebServices记录器

4.进⼊扫描配置向导页⾯,URL输⼊框的地址即为被测⽹址or其IP地址,如输⼊以下被测url,点击“下⼀步”

PS:1)可以打开AppScan内置浏览器查看被测链接是否能正常访问;2)以下被测⽹址为某个专门测试⽤的漏洞⽹站,⾮常规使⽤的⽹站

5.登录⽅法:根据实际需要选择(如:⾃动),⽤户名和密码即为被测⽹站的登录账户,点击“下⼀步”

PS:1)若登录⽅法选择“记录”,则可通过界⾯右侧的“记录(R)”按钮打开APPScan内置浏览器并输⼊登录信息,关闭内置浏览器

后,AppScan即可记录该⽤户名和密码,扫描的时候相当于是已登录此账户的状态进⾏扫描;2)若选择“提⽰”,则根据⽹站扫描探索过程中

需要登录会提⽰输⼊登录信息,⼈⼯输⼊正确的账号信息之后继续扫描;3)若选择“⽆”,则不需输⼊登录账户

6.选择适当的操作策略(⼀般保持默认选择,即“缺省值”),点击“下⼀步”

7.设置启动模式,根据实际需要选择(如:仅使⽤⾃动“探索”启动),点击“完成”,即可开始启动扫描or测试

PS:1)全⾯⾃动扫描:探索的同时,也进⾏攻击测试;2)仅⾃动“探索”:⾃动探索⽹站的⽬录结构,可被测的链接范围及数⽬,不作实际攻

击测试;3)⼿动探索:先通过AppScan内置浏览器打开被测⽹站,⼿动点击不同的⽬录页⾯,然后AppScan记录之;4)稍后启动扫描:先把

此次⽹站的扫描配置进⾏保存,后续若想扫描的时候再继续操作。

8.保存配置:⽐如点击“是”,将此次配置命名保存到指定⽂件夹下

9.待步骤8保存配置之后,即会⾃动跳转到扫描⽹站的界⾯开始扫描,⼀般扫描时间根据测试范围和策略有关,这⾥可以看到扫描进度

PS:扫描过程中,若扫描时间较长,可⾃动让其扫描,或者点击“暂停”-保存本次扫描,然后下次继续未扫描的过程;若直接点击右上

⾓“×”关闭AppScan,则不会保存本次扫描的过程

10.扫描完成之后,可查看扫描的结果如下所⽰

11.点击“扫描”-“仅测试”,开始启动对此次探索结果的攻击测试

根据扫描测试过程中的APPScan⼯作情况,是否有扫描出安全漏洞,是否在扫描过程中进度受阻⽽不能继续扫描,是否覆盖到设定的url范围,对

同⼀模块可重复扫描做对⽐,调整获得适合⾃⼰环境的配置

12.测试完成之后,保存本次AppScan扫描测试的结果;从统计出的安全性问题,可以查看对应的漏洞链接、请求和响应、修复建议

13.点击“报告”,创建不同要求的安全报告

三、AppScan使⽤特别注意事项【Important!使⽤特别注意事项【Important!】】

【1】AppScan扫描过程中,会向服务器发送较多请求,会占⽤⼀定的正常请求访问的资源,可能导致⼀些垃圾数据,建议只在本地测试环境执

【2】使⽤AppScan之前,请提前备份好数据库的数据,假若扫描致使服务器异常关闭,则需重启服务;若扫描产⽣的请求数据过多,或Web程

序出现异常,可能需要从备份数据恢复还原。⼀般情况下,正常扫描Web程序很少可能出现Web服务异常的情形

【3】AppScan扫描配置时,有区分为WebApplication(Web应⽤程序)和WebService(Web服务)的扫描⽅向。若只对Web程序本⾝的

漏洞检测,就选WebApplication扫描即可;若选择WebService扫描,则需提前告知服务器维护的负责⼈,建⽴异常情况发⽣的处理机制,最

好避开访问请求的⾼峰or办公⼈员集中使⽤的时间,⽐如下班后⾃动扫描

【4】AppScan扫描的结果并不代表完全真实的情况,受限于所⽤扫描器版本的漏洞规则库的规则,以及操作者的配置策略,扫描过程中有可能

会使得扫描器出现误判or漏测。如有必要,还需对扫描的结果进⾏⼈⼯校验,可对同⼀Web应⽤分次进⾏扫描对⽐差异性

【5】扫描配置时,⼀般按照默认的测试策略-WASC威胁分类即可;若服务器本⾝所能承受的性能压⼒不强,or存在较多漏洞的时候,不宜选

择“侵⼊式”策略,该策略存在着可能会⼊侵服务器、关闭服务、破坏数据库等风险

【6】使⽤破解版的AppScan扫描Web应⽤时,若Web⽹站本⾝结构⽐较复杂、模块众多、涉及的url数⽬巨⼤(⼏万-⼗多万),则不宜⼀次性

全站扫描,有可能连续扫描⼏个⼩时都不能探索完⽹站的所有结构。持续时间过长还可能造成AppScan出现卡顿,显⽰“正在扫描中”,但实际

上已经没有继续再扫描。因此,当第⼀次探索了⼤概的⽹站结构和容量之后,若容量巨⼤,最好分⽽治之,按模块结构分次进⾏扫描测试

【7】结果分析(Analysis)

在APPScan扫描结果基础上,根据不同的严重级别进⾏排序、⼿⼯+⼯具验证的⽅式对漏洞验证可靠性,排除误报的情况,并尽可能找出漏报的

情况,把本次扫描结果汇总,对以上已验证存在的安全漏洞排列优先级、漏洞威胁程度,并提出每个漏洞的修复建议

然后,再把此次安全漏洞整理的报告提交给项⽬负责⼈,由负责⼈决定哪些漏洞转给开发⼯程师修复,⽽后再由安全测试⼯程师进⾏回归验证修复

的状况

---------------------------------------------------------------------------------------------------------

PS:以上,并⾮绝对,需要根据实际情况,通过实践进⾏不断优化和改进,以获取最适合⾃⼰环境的操作策略

更多推荐

在线web漏洞扫描工具