今天pink来给大家分享一些关于APPSCANappscan会扫描增删改页面吗方面的知识吧,希望大家会喜欢哦
Appscan会扫描增删改页面,但这取决于细节。Appscan不仅仅扫描增删改页面,它还检查要求输入敏感信息的其他页辩胡面,验证输入并确保伏码所有输入限制正携厅拦确并保护安全性。
说明:
1、扫描系统之前,请确认本机有权限访问该系统(即网页正常打开)。若无,需确认是否防火墙开启或其他的原因。
2、弹出的更新界面,不要进行更新。
一、启动Appscan,菜单栏“文件”菜仔搜枝单下选择“新建”
二、在预定义的模板中选择“常规扫描”,并取消“启动扫描配置向导”
三、在工具栏中选择“配置”图标
四、在扫描配置窗口中,“URL和服务器”填写起始URL
五、在登录管理中,登录方法选择为“记录(推荐)”,点击“”按钮,在弹出的浏览器窗口中,执行一次系统的登录操作
六、完成系统登录操作后,关闭浏览器,选择登录管理中的“详细信息”
七、在“详细信息”中,取消“激活会话中的检测”,同时在“登录会话标识中”,念敏对变量参数值进行跟踪以确保参数的正确处理而获得系统访问权限
八、把密码修改页面URL、用户权限删除URL等页面添加至排除测试范围,防止Appscan的请求产生相应影响(防止Appscan修改密码或删除用户帐号)
九、在“自动表单填充”中,填入用户名和密码参数,并填写参数值,其余不做修改
十、如果测试过程中,应用服务出现性能响应过慢的问题,适当调整测试线程数为2~5
十一、测试策略选择为“严重性”进行过滤
只勾选关注的严重性级别,把“高”、“中”和“低”选上。
十二、点击确定按钮,结束扫描配置工作
十三、点击扫描按钮,选漏禅择“仅探索”,Appscan开始执行探索工作
十四、探索自动结束后,点击“手动探索”按钮,此时,在弹出的IE浏览器窗口中登录系统,手工的任意访问系统页面(1~10个),关闭浏览器
十五、在弹出的参数添加窗口中,点击“确定按钮”
十六、点击扫描按钮,选择“完全扫描”,Appscan开始执行测试工作
十七、测试执行结束后,点击报告按钮,选择关注的测试结果信息,参考下图
十八、“保存报告”,保存类型建议选择为html
十九、测试结束
HCLAppScan是知名的web应用漏洞扫描工具,常见的就是AppScanStandard版本,也就是标准版。另外还有AppScanSource版本,主要功能就是静态代码漏扫,也就是代码审计。还有AppScanEnterprise版本,这个企业版包含了web应用漏备和衡洞扫描,也包含了代码审计,提供大棚姿量仿做的接口可以集成软件生命周期中的CI/CD。
Appscan作为一款Web安全测试工具,更多的情况下嫌羡是对web系统进行扫描。旦橘对App来说使用的时候是相对比较少,但是还是会用到的。
上次用Appscan扫描app的时候还是在2018年,隔了这么多年又用到了。以前也写过相应的文章,但是网站数据丢失,现重新整理记录下整个过程以不防之需。
前提条件:手机的网络需要和电脑在同一个网络下才可以,可以通过手机连接电脑热点的方式,尽量不要有多余的网络连接,最好只有电脑和手机
1、选择“使用外部客户机扫描”
2、设置代理
这里选择本地,代理端口可以自己设置也可以让appscan自动选择端口
3、下一步
4、将手机的ip加入白名单
5、设置手机代理
服务器地址为装有appscan电脑的ip地址
6、准备记录
点击‘记录’,
7、获取数据
操作时可以对app中每一个步骤都进模者团行操作一遍,这样捕获的记录会相对更完整一些,结束后点击“停止记录”,选择确定,接下来就是对捕获数据进行分析了。
本文到这结束,希望上面文章对大家有所帮助