appscan黑盒扫描工具-appscan-华克斯

appscan案例分析

工作中遇到一个案例，使用 appscan 扫描扫描了 3*24 小时，扫描的 scan 文件已经达到9g；扫描还在持续进行中，总体进度完成了

30%，可以---扫描速度已经很缓慢，还需要多长时间才可以完成扫描？扫描完成以后如此大的结果文件是否可以成功打开和修改保存 ?

我们的分析过程如下：

1、和用户讨论，appscan黑盒扫描工具，确认关心的安全问题，根据这些安全问题制定测试策略；讨论后确定选择“sql 注入”和“跨站点---编制”两种类型的安全---。

2、确定网站范围，被扫描应用是典型运营商门户网站，重点要扫描门户网站自身和其上面提供的“网上营业厅”服务。分析被测网站，使用 appscan 配置了网站主页面，然后选择“仅探索”运行 20 分钟后，发现 30，000 多个页面。停止探索，开始分析页面。

3、分析发现该网站同一个链接，存在 http、https 访问的不同情况，appscan安全测试工具，而且两种访问方式访问到的页面内容相同，则过滤掉 https 的请求，集中测试 http 请求。分析发现存在大量的“伪静态页面”，如：

appscan是什么：

appscan是ibm的一款web安全扫描工具，可以利用爬虫技术进行网站安全渗透测试，根据网站入口自动对网页链接进行安全扫描，扫描之后会提供扫描报告和修复建议等。appscan有自己的用例库，版本越新用例库越全。

appscan工作原理：

（扫描规则库 + 爬行 + 测试）

1）通过探索了解整个web页面结果

2）通过分析，appscan，使用扫描规则库对修改的http request进行攻击尝试

3）分析 resp0nse 来验证是否存在安全漏洞

appscan是用于web项目的安全测试工具，appscan扫描，扫描网站所有url（自动+手动），自动测试是否存在各种类型的漏洞。

appscan使用步骤

选择记录

就会弹出appscan自带的浏览器，在其中输---号密码，appscan就会自动记录

---下一步

等appscan自动爬取完后，可以进行一个手工，浏览每个页面，使爬取到的页面更全

下面是扫描到的问题

并且还给出了修复建议

还可以进行手动测试

选项排除 某些（*./logout.php） 页面

修改扫描策略

创建报告

appscan黑盒扫描工具-appscan-华克斯(查看)由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司为客户提供“loadrunner,fortify,源代码审计,源代码扫描”等业务，公司拥有“loadrunner,fortify,webinspect”等品牌，---于行业软件等行业。，在苏州工业园区新平街388号的名声---。欢迎来电垂询，联系人：华克斯。

     联系我们时请一定说明是在100招商网上看到的此信息，谢谢！
     本文链接：https://tztz192713.zhaoshang100.com/zhaoshang/264182842.html
     关键词： loadrunner - qtp - hp qc/alm - fortifysca - fireeye