前言
难道我们现在需要进行每个接口的扫描,sql注入测试,针对前段做XSS攻击,针对cookie做csrf攻击吗?不需要!!接下来给请出我们今天的主角APPSCan?
注:漏扫已经是实质的攻击行为,请务必确保你的扫描动作是经过授权的,尤其不要尝试在非授权的情况下在互联网上扫描政府类网站,若是导致网站瘫痪或运行异常,均可能会被追究法律责任。
AppScan是什么?
- AppScan是IBM的一款web安全扫描工具,可以利用爬虫技术进行网站安全渗透测试,根据网站入口自动对网页链接进行安全扫描,扫描之后会提供扫描报告和修复建议等。
- AppScan有自己的用例库,版本越新用例库越全(用例库越全面,对漏洞的检测较全面,被测试系统的安全性则越高)
工作原理:
- 通过探索了解整个web页面结果
- 通过分析,使用扫描规则库对修改的HTTP Request进行攻击尝试
- 分析 Response 来验证是否存在安全漏洞
Appscan安装
- 下载链接:https://www.xue51.com/soft/42773.html 切记:切记选择本地下载,普通下载,切勿选择高速下载!!!
1.下载到文件之后,先解压,应该会得到一个文件夹和一个appscan的可执行程序
2.先打开可执行文件,右键以管理员身份运行,然后开始安装
3.安装后,先不要打开appscan,而是打开第一步得到的文件夹,用rcl_rational.dll替换安装目录下的对应文件。
4.打开软件,点击帮助-许可证-切换到IBM许可证,导入AppScanStandard.txt作为许可证。
- 注意:证书的路径不能有中文不然会报以下错误
- 路径正确后证书:
安装成功啦!!!!