IBM Rational AppScan是web应用程序渗透测试舞台上使用最广泛的工具之一.它是一个桌面应用程序,它有助于专业安全人员进行Web应用程序自动化脆弱性评估,Zoomla!逐浪CMS一直强化各类安全与客户资产保护,并进行严密测试与相关实验,从而被包括政府、军工、500强、出版、传媒、水电等企业采用,赢得客户的高度赞同。
先来一段产品介绍:
Appscan是web应用程序渗透测试舞台上使用最广泛的工具之一.它是一个桌面应用程序,它有助于专业安全人员进行Web应用程序自动化脆弱性评估。本文侧重于配置和使用Appcan,分析扫描结果将在下一篇文章中讨论.
Appscan的主要特点:
Appscan 8.5标准版有很多新的功能,其中大部分将在我下面的概要中涵盖:
Flash支持: 8.0 Appscan相对早期的版本增加了flash支持功能,它可以探索和测试基于Adobe的Flex框架的应用程序,也支持AMF协议。
Glass box testing::Glass box testing是Appscan中引入的一个新的功能.这个过程中,安装一个代理服务器,这有助于发现隐藏的URL和其它的问题。
Web服务扫描:Web服务扫描是Appscan中具有有效自动化支持的一个扫描功能。
Java脚本安全分析:Appscan中介绍了JavaScript安全性分析,分析抓取html页面漏洞,并允许用户专注于不同的客户端问题和DOM(文档对象模型)为基础的XSS问题。
报告:根据你的要求,可以生成所需格式的报告。
修复支持:对于确定的漏洞,程序提供了相关的漏洞描述和修复方案.
可定制的扫描策略:Appscan配备一套自定义的扫描策略,你可以定制适合你需要的扫描策略。
工具支持:它有像认证测试,令牌分析器和HTTP请求编辑器等,方便手动测试漏洞.
Ajax和Dojo框架的支持。
现在,让我们继续学习更多有关安装和使用Rati??onal AppScan扫描Web应用程序的过程。
Appscan的安装:
要运行Appscan的系统至少需要2GB的RAM,同时确保安装了.net framwork和Adobe flash来执行扫描过程中的Flash内容。在进一步之前,需要注意的是,这种自动扫描器会发送数据到服务器,有可能在扫描过程中让服务器超过负荷,所以它可能会删除服务器上的数据,添加新记录甚至让服务器崩溃.因此扫描之前最好备份所有的数据.
安装Appscan之前,关闭所有打开的应用程序。点击安装文件,会出现安装向导,如果你还没有安装.Net framwork,Appscan安装过程会自动安装,并需要重新启动。按照向导的指示,可以很容易的完成安装.如果你使用的是默认许可,你将只允许扫描appscan中的测试网站。要扫描自己的网站,需要付费购买许可版本
IBM官方的介绍:
IBM®Security AppScan 的®是一款领先的应用安全性测试套件,旨在整个软件开发生命周期中管理漏洞测试。 IBM Security AppScan 自动进行漏洞评估、扫描和检测所有常见的 Web 应用程序漏洞,包括 SQL 注入,跨站脚本,缓冲区溢出和 Flash/ Flex 应用程序和 Web2.0 的漏洞扫描。
AppScan 的的特点和优点包括以下内容:
1)扫描和测试,适用范围广的应用安全漏洞 2)能够扫描复杂的 Web 应用 3)高精度,先进的检测功能,包括动态和创新的混合动力分析玻璃盒测试(运行时分析),静态污点分析 4)快速修复,可优先成果,修复成建议 5)增强您的见解组织遵守政府和行业任务,促进了 40 项合规报告。
Web 应用程序的支持,包括:Adobe 的 Flash,JavaScript,Ajax 和简单对象访问协议(SOAP)的 Web 服务。
(多不敷叙,详情去ibm.com检索)
如果扫描出来的结果如下所示,则是有三个危险:
而本次扫描以demo.zoomla.cn为实际测试,其截图如下:
终极测试成果全面达成,优酷视频来说明: