舍不得分享的web安全测试神器——AppScan

发表于:2022-8-18 09:37

字体: | 上一篇 | 下一篇 | 我要投稿

 作者:土豆    来源:知乎

分享:
  摘要:AppScan,即 AppScan standard edition。其安装在 Windows 操作系统上,可以对网站等 Web 应用进行自动化的应用安全扫描和测试。是 IBM 公司的 Web 扫描工具,对网站等 Web 应用进行自动化的应用安全扫描和测试。
  APPScan 的工作原理
  1、通过“探索”功能,利用HTTP Request和Response的内容,爬行出指定网站的整个 Web 应用结构2、AppScan 本身有一个内置的漏洞扫描的规则库,可随版本进行更新。从探索出的 url 中,修改参数 or 目录名等方式,构造不同的 url 对照组向服务器发送请求 or 攻击3、根据 HTTP Response 返回的内容,和正常请求所返回的响应作对比,是否产生差异性,而这种差异性又是否符合扫描规则库的设定规则,以此来判断是否存在不同类型的安全漏洞4、若 APPScan 可判断存在安全漏洞,则对这些漏洞的威胁风险给出说明,进行严重程度提示,并给出修复的建议和方法,以及漏洞发现的位置提示。
  安装
  直接点击即可开始安装,打开之后的界面:
  这里显示无许可证:
  破解(这里使用的是吾爱破解的方法,但是没能成功。
  扫描
  在正式开始之前需要现将结果保存下来,然后就开始了:
  ·appscan 的规则是先爬虫后扫描
  点击问题则会显示当前存在的问题:
  扫描完成之后将结果进行保存。
  appscan 反制
  早些时候,由于 Chrome 出现的 V8 引擎漏洞,这一漏洞出现导致了一列的攻击链:微信点击特定链接就中马。而其中在一公众号文章上看到了利该漏洞能够对 appscan 进行反制,但是我并没有复现成功该漏洞,而且其他人也没能复现成功。
  本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
价值398元的测试课程免费赠送,填问卷领取吧!

关注51Testing

联系我们

快捷面板 站点地图 联系我们 广告服务 关于我们 站长统计

法律顾问:上海漕溪律师事务所 项棋律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2022
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪ICP备05003035号

沪公网安备 31010102002173号