前言
它是由IBM公司开发的一款在web应用程序渗透测试舞台上使用最广泛的工具,有助于专业安全人员进行Web应用程序自动化脆弱性评估。AppScan 可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)、缓冲区溢出(buffer overflow)及最新的 Flash/Flex 应用及 Web 2.0 应用曝露等方面安全漏洞的扫描。接下来,让我们进入appscan的里程
一、Appscan安装
1、软件下载:下载地址1( 密码: t4vh)、下载地址2( 密码:m8sk)
2、软件安装:
>在本站提供的百度网盘地址中下载这两个文件,AppScan_Std_9.0.3.6_Eval_Win.exe是安装主程序,LicenseProvider.dll为破解文件,双击AppScan_Std_9.0.3.6_Eval_Win.exe进行安装。
>选择中文(简体)语言,点击确定
>由于小编系统中没有.NET Framework 4.6.2 Web组件,这里提示需要安装,同样没有该组件的童鞋们可以看一下,如果没有提示这一项的话,可以直接看第6步。点击安装
>选择我已阅读并接受许可条款,并点击安装
>正在安装.NET,等待即可
>.NET 4.6.2安装完毕,点击完成
>现在正在解压AppScan 9.0.3.6,不用理会。在安装界面中,选择我接受许可协议中的全部条款,并点击下一步进行安装
>AppScan默认安装在C:\Program Files (x86)\IBM\AppScan Standard\,我们可以选择更改安装到其它盘中,建议D盘,尽量不要所有的程序都安装C盘,会影响系统速度。本篇选择的是D盘,大家根据自己的习惯即可,选择好后,点击确定和安装
>安装程序功能,需要等待几分钟,静待即可。
>点击完成结束安装程序
3.软件破解
>将下载下来的LicenseProvider.dll破解文件,复制到软件的安装目录下
>选择替换功能,将之前的LicenseProvider.dll文件替换掉
>破解完成,现在大家就可以使用AppScan 9.0.3.6的全部功能了。注意:有时候替换后运行软件还显示演示许可证,但是扫描目标已不受限制
二、软件功能
AppScan Standard 采用三种彼此互补和增强的不同测试方法:
动态分析(“黑盒扫描”)-------这是主要方法,用于测试和评估运行时的应用程序响应。
静态分析(“白盒扫描”)-------这是用于在完整 Web 页面上下文中分析 JavaScript 代码的独特技术。
交互分析(“glass box 扫描”)-------动态测试引擎可与驻留在 Web 服务器本身上的专用 glass-box 代理程序交互,从而使 AppScan 能够比仅通过传统动态测试时识别更多问题并具有更高准确性。
AppScan 的高级功能包括:
常规和法规一致性报告,并提供超过 40 个不同的开箱即用模板
通过 AppScan eXtension Framework 或通过使用 AppScan SDK 直接集成到现有系统内来实现的定制和可扩展性
链接分类功能,超越应用程序安全性以确认由指向恶意或其他不需要的站点的链接向用户带来的风险
AppScan Standard 可帮助您在站点部署之前并且为生产阶段的进行中风险评估来降低 Web 应用程序攻击和数据违规的风险。
三、软件特色
“AppScan® 全面扫描”包含两个阶段:探索和测试。 尽管扫描过程的绝大部分对于用户来说实际上是无缝的,并且直到扫描完成几乎不需要用户输入,但理解其后的原则仍然很有帮助。
探索阶段
在第一个阶段中,AppScan 通过模拟 Web 用户单击链接和填写表单字段来探索站点(Web 应用程序或 Web 服务)。这就是“探索”阶段。
AppScan 将分析它所发送的每个请求的响应,查找潜在漏洞的任何指示信息。 AppScan 接收到可能指示有安全漏洞的响应时,它将自动基于响应创建测试,并通知所需验证规则,同时考虑在确定哪些结果构成漏洞以及所涉及到安全风险的级别时所需的验证规则。
在发送所创建的特定于站点的测试之前,AppScan 将向应用程序发送若干格式不正确的请求,以确定其生成错误响应的方式。 之后,此信息将用于增加 AppScan 的自动测试验证过程的精确性。
测试阶段
在第二个阶段,AppScan 将发送它在探索阶段创建的数千个定制测试请求。 它使用定制验证规则记录和分析应用程序对每个测试的响应。 这些规则既可识别应用程序内的安全问题,又可排列其安全风险级别。
无 Web 服务的站点
如果是没有 Web 服务的站点,那么为 AppScan® 提供起始 URL 和登录认证凭证可能足以使其能够测试站点。
如有必要,还可以通过 AppScan 手动搜寻站点,以便能够访问仅通过特定用户输入才能到达的区域。
Web 服务
为了能够有效扫描 Web Service,AppScan 安装包含一项工具(appscan软件安装过程中有提示是否需要安装),用户通过它可查看 Web 服务中整合的各种方法,处理输入数据以及检查来自服务的反馈。
您首先需要为 AppScan 提供服务的 URL。 集成的“通用服务客户机 (GSC)”使用服务的 WSDL 文件以树格式显示可用的单独方法,并且会创建用于向服务发送请求的用户友好 GUI。您可以使用此界面输入参数和查看结果。此过程由 AppScan 进行“记录”,并且用于在 AppScan 扫描站点时创建针对服务的测试。
四、使用说明
用户交互
这些是由于需要用户提供 AppScan® 所无法提供的输入而未发送的请求。您可以配置 AppScan 以提供输入;请参阅“自动表单填充”视图。 如果您遗漏了某些应用程序参数,或选择不使用自动表单填充器,那么 AppScan 将会提供交互式 URL 列表供您复审。
您可以检查交互式 URL 列表。 如果您想要扫描这些页面,那么要提供“手动探索”中要求的用户信息。
建议您仔细检查交互式 URL 的列表,填写所需数据,然后发送这些请求。 AppScan 之后将在“测试”阶段包括这些 URL。
通过使 AppScan 能够发送这些请求,站点中先前不可访问的整个新部分可能得以访问。因此,您访问交互式 URL 后,应该重新探索您的应用程序(扫描 > 重新扫描 > 探索)。
导出扫描结果
扫描完成时,结果将显示在主窗口上。 其他视图(问题、修复、应用程序数据)提供经过滤可使用的扫描结果。
您可以通过不同方法从 AppScan® 导出扫描结果:
配置并生成 AppScan 报告;导出为 PDF 或其他可读可移植格式。
从“问题”中选择测试变体,并允许 AppScan 将变体信息的 zip 文件附加到新电子邮件。 请参阅结果:安全问题。
从完整扫描结果中生成数据库或 XML 文件。
修复任务:应用程序树
应用程序树显示已扫描的应用程序的文件夹和文件。 树中每个节点都有一个计数器,显示节点中有多少项修复任务。 每个节点的计数将会等于或少于问题视图的计数,这是由于一项修复任务可能会解决多个问题。
应用程序树显示以下级别的修复任务:
任务名称
URL
参数或 cookie
针对若干 URL 上找到的问题而设计的单个任务以及其下的 URL 将列出一次。
在应用程序树中选择一个节点,以过滤结果列表,这样将仅显示所选节点的结果。