從安裝到使用web漏洞掃描工具

一、AppScan—簡介

AppScan 安裝在 windows 操作系統(tǒng)上，可以對網(wǎng)站等web應(yīng)用進行自動化的應(yīng)用安全掃描和測試。

是一個產(chǎn)品家族，包括眾多的應(yīng)用安全掃描產(chǎn)品，從開發(fā)階段的源代碼掃描的 AppScan source edition，到針對web應(yīng)用進行快速掃描的 AppScan standard edition，以及進行安全管理和匯總整合的 AppScan enterprise Edition 等。

我們經(jīng)常說的 AppScan 就是指的桌面版本的 AppScan，即 AppScan standard edition。其安裝在windows 操作系統(tǒng)上，可以對網(wǎng)站等web應(yīng)用進行自動化的應(yīng)用安全掃描和測試。

web掃描器也是為我們做信息收集、為接下來的滲透測試做準備。

二、AppScan 的工作原理

• 通過“探索”功能，利用 HTTP Request 和 Response 的內(nèi)容，爬行出指定網(wǎng)站的整個 Web 應(yīng)用結(jié)構(gòu)。
• AppScan 本身有一個內(nèi)置的漏洞掃描的規(guī)則庫，可隨版本進行更新。從探索出的 url 中，修改參數(shù) or 目錄名等方式，構(gòu)造不同的 url 對照組向服務(wù)器發(fā)送請求 or 攻擊。
• 根據(jù) HTTP Response 返回的內(nèi)容，和正常請求所返回的響應(yīng)作對比，是否產(chǎn)生差異性，而這種差異性又是否符合掃描規(guī)則庫的設(shè)定規(guī)則，以此來判斷是否存在不同類型的安全漏洞。
• 若 APPScan 可判斷存在安全漏洞，則對這些漏洞的威脅風(fēng)險給出說明，進行嚴重程度提示，并給出修復(fù)的建議和方法，以及漏洞發(fā)現(xiàn)的位置提示。

三、AppScan—安裝

具體詳情：https://www.cnblogs.com/zaixiachengxuyuan/p/14941557.html

下載地址：https://pan.baidu.com/s/19TAHl8lYGmE0O753ULyzYA

密碼：yvle?

AppScan 的安裝配置要求：

1、系統(tǒng)版本

Windows 2008 R2

2、NET framework 4.62

3、替換文件

4、更新補丁

文件地址如下圖所示：

四、添加目標

AppScan 掃描流程

1、新建掃描 - 常規(guī)掃描

2、配置掃描向?qū)?/p>

3、設(shè)置目標地址

4、登錄方法 - 無

5、測試策略 - 缺省值

6、啟動掃描 - 保存掃描文件?

使用教程地址：https://blog.csdn.net/u010013191/article/details/80733170

五、掃描報告

創(chuàng)建掃描報告并閱讀

?

總結(jié)

以上是生活随笔為你收集整理的Web漏洞扫描器—AppScan的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。