AppScan进行基本的安全测试2目录AppScan简介AppScan扫描验证扫描结果分析扫描结果3AppScan是业界第一款并且是领先的web应用安全测试工具包,也是唯一一个在所有级别应用上提供全面纠正任务的工具。AppScan扫描web应用的基础架构,进行安全漏洞测试并提供可行的报告和建议。AppScan的扫描能力,配置向导和详细的报表系统都进行了整合,简化使用,增强用户效率,有利于安全防范和保护web应用基础架构。在商业安全扫描工具中,提供简体中文支持的,目前也只有AppScan一个。AppScan简介4安装Appscan,有安装向导,如果你还没有安装.Netframwork,Appscan安装过程会自动安装,并需要重新启动。按照向导的指示,可以很容易的完成安装。如果你使用的是默认许可,你将只允许扫描appscan中的测试网站。要扫描自己的网站,需要付费购买许可版本。咱们的Appscan证书服务器10.12.7.58AppScan扫描5在我们开始扫描之前,让我们对Appscan的工作做一个了解.任何自动化扫描器都有两个目标:找出所有可用的链接和攻击寻找应用程序漏洞。探索(Explore):在探索阶段,Appscan试图遍历网站中所有可用的链接,并建立一个层次结构。它发出请求,并根据响应来判断哪里是一个漏洞的影响范围。例如,看到一个登陆页面,它会确定通过绕过注入来通过验证.在探索阶段不执行任何的攻击,只是确定测试方向.这个阶段通过发送的多个请求确定网站的结构和即将测试的漏洞范围。测试(Test):在测试阶段,Appscan通过攻击来测试应用中的漏洞.通过释放出的实际攻击的有效载荷,来确定在探索阶段建立的安全漏洞的情况.并根据风险的严重程度排名。在测试阶段可能会发现网站的新链接,因此Appscan在探索和测试阶段完成之后会开始另一轮的扫描,并继续重复以上的过程,直到没有新的链接可以测试。扫描的次数也可以在用户的设置中配置.AppScan扫描6AppScan扫描7开始扫描,启动Appscan,你会看到所示的欢迎屏幕,我们点击“创建新的扫描”,然后选择所需要的扫描模板,模板包括已经定义好的扫描配置,我们以“常规扫描”举例,然后会出现配置向导,选择“AppScan(自动或手动)”。AppScan扫描8AppScan扫描起始URL:此功能指定要扫描的起始网址.在大多数情况下,这将是该网站的登陆页面.。以性能测试环境自营会员管理后台为例:扫描登陆方法:10记录:选择此项后,会出现一个新的浏览器,并尝试链接到指定的网站作为本扫描的起始URL.你需要输入账号和密码登陆到应用程序.这样设置之后你可以关闭浏览器,但是不要点击注销按钮.有时候你会发现打开的浏览器不是IE,而是Appscan浏览器.你可以改变通过设置来改变这个.Tools–Options–Advanced,设置OpenIEBrower的值0–Appscan浏览器,1–IE,2–Firefox,3–Chrome.如果该网站的行为在不同的浏览器下有所不同,这个设置将是非常有用的。提示:每次注销之后,Appscan会提示你登陆到应用程序中.如果你打算整个扫描你的系统,你可以选择这个选项.自动:在这里你可以直接指定用户名和密码,当你需要登陆到应用程序的时候.AppScan扫描11AppScan扫描测试策略:选择最适合你需求的策略12AppScan扫描最后一步,选择启动方式之后,完成即配置完毕。启动全面自动扫描:启动应用程序的全面扫描(“探索”后将立即进行“测试”)。使用仅自动“探索”来启动:探索应用程序,但不继续“测试”阶段。(可以稍后运行“测试”阶段)。使用手动探索来启动:浏览器将打开,并且您可以通过单击链接并填写字段来手动探索站点。AppScan®将记录结果,以便在“测试”阶段使用。我将稍后启动扫描:关闭向导,不启动扫描。下次启动扫描时,会使用该模板。13分析扫描结果扫描结果:14分析扫描结果分析扫描结果:以SQL盲注为例,先看请求/响应项中的测试数据信息,返回数据中是否有明确的提示信息,例如“您发送请求的参数中含有非法字符”,若没有,则需要进一步进行验证是否注入成功,这时我们需要用SQLMAP进行验证。15验证扫描结果SQLMAP验证方法:sqlmap.py-u“参数1”--cookie“参数2”--data“参数3-f--banner--dbs--users-v416验证扫描结果17验证扫描结果18验证扫描结果注入失败的SQLMAP执行结果:所有参数无法被注入SQLMAP执行:19验证扫描结果注入失败注入成功的SQLMAP执行后结果:(OA系统为例)曝出数据库信息可继续执行--tables-D“db_name“,可曝出指定的数据库中所有的表名。20