appscan安全测试-华克斯-appscan

appscan standard应用安全漏洞扫描工具参数，更新 v10.0 参数：

1、产品从操作界面，appscan，到联机帮助文档；安装手册中文化；

2、支持以代理方式收集流量的方式进行应用安全测试；

3、支持---用户检查功能，通过对不同权限用户的纵向和横向的检查比较，寻找应用中的越权行为；

4、支持的模拟攻击行为不仅可以包括brute force、insufficient authentication、credential/session prediction、insufficient authorization、insufficient session expirati0n、session fixation、content spoofing、cross-site sc ripting、buffer overflow、format string attack、ldap injection、os commanding、sql injecti0n、ssi injection、xpath injection、directory indexing、information leakage、path traversal、predictable resource location、abuse of functionality、denial of service、insufficient process validation等方法。

appscan 常见的漏洞概述

1、sql注入

1）定义

sql注入是一种比较常见的---级漏洞，简单理解，sql注入就是没有过滤从页面传至接口的字符，攻击者通过将---的sql查询插入到输入参数中，在后台服务器上解析进行执行，终导致数据库信息被篡改或泄露。

2）风险分析

sql注入可能导致数据库中存储的用户------，可通过操作数据库对特定网页进行篡改。修改数据库一些字段的值，嵌入木马链接，进行挂马攻击，甚至数据库的系统管理员帐户被篡改。

3）修---式

a、程序代码里的所有查询语句，使用标准化的数据库查询语句api接口，设定语句的参数进行过滤一些的字符，防止用户输入---的字符传入到数据库中执行sql语句

b、对用户提交的的参数安全过滤，像一些特殊的字符进行字符转义操作，以及编码的安全转换