APPScan安全漏洞扫描

标签: appscan 安全漏洞 | 发表时间:2018-04-16 20:07 | 作者:zengshaotao
出处:http://www.iteye.com

IBM AppScan是一款非常好用且功能强大的Web 应用安全测试工具,曾以 Watchfire AppScan 的名称享誉业界,Rational AppScan 可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)、缓冲区溢出(buffer overflow)及最新的 Flash/Flex 应用及 Web 2.0 应用曝露等方面安全漏洞的扫描。欢迎有需要的朋友们前来下载使用。

个人认为appscan扫描太慢,不如WVS扫描快,可配合使用。

IBM AppScan安装破解教程

一、安装

1、在本站提供的百度网盘地址中下载这两个文件,AppScan_Std_9.0.3.6_Eval_Win.exe是安装主程序,LicenseProvider.dll为破解文件,双击AppScan_Std_9.0.3.6_Eval_Win.exe进行安装。

AppScan9.0.3安装破解教程

2、选择中文(简体)语言,确定。

AppScan9.0.3安装破解教程

3、由于小编系统中没有.NET Framework 4.6.2 Web组件,这里提示需要安装,同样没有该组件的童鞋们可以看一下,如果没有提示这一项的话,可以直接看第6步。

点击安装。

AppScan9.0.3安装破解教程

AppScan9.0.3安装破解教程

4、选择我已阅读并接受许可条款,并点击安装。

AppScan9.0.3安装破解教程

正在安装.NET,等待即可

AppScan9.0.3安装破解教程

5、.NET 4.6.2安装完毕,点击完成。

AppScan9.0.3安装破解教程

6、现在正在解压AppScan 9.0.3.6,不用管它。

AppScan9.0.3安装破解教程

7、在安装界面中,选择我接受许可协议中的全部条款,并点击下一步进行安装。

AppScan9.0.3安装破解教程

8、AppScan默认安装在C:\Program Files (x86)\IBM\AppScan Standard\, 我们可以选择更改安装到其它盘中,小编建议D盘,尽量不要所有的程序都安装C盘,会影响系统速度

AppScan9.0.3安装破解教程

9、这里小编选择的是F盘,大家根据自己的习惯即可,选择好后,点击确定。

AppScan9.0.3安装破解教程

10、安装。

AppScan9.0.3安装破解教程

11、安装程序功能,需要等待几分钟,静待即可。

AppScan9.0.3安装破解教程

12、点击完成结束安装程序。

AppScan9.0.3安装破解教程

二、破解

1、找到桌面上的AppScan图标,先不要打开。

AppScan9.0.3安装破解教程

2、点击鼠标右键,选择属性。

AppScan9.0.3安装破解教程

3、在弹出的窗口中,点击打开文件位置的选项,这样可以让你快速定位到文件的安装目录。

AppScan9.0.3安装破解教程

4、将下载下来的LicenseProvider.dll破解文件,复制到弹出来的安装目录下。

AppScan9.0.3安装破解教程

5、选择替换功能,将之前的LicenseProvider.dll文件替换掉。

AppScan9.0.3安装破解教程

6、破解完成,现在大家就可以使用AppScan 9.0.3.6的全部功能了。注意:替换后运行软件还显示演示许可证,但是扫描目标已不受限制

AppScan9.0.3安装破解教程

软件功能

  AppScan Standard 采用三种彼此互补和增强的不同测试方法:

  动态分析(“黑盒扫描”)

  这是主要方法,用于测试和评估运行时的应用程序响应。

  静态分析(“白盒扫描”)

  这是用于在完整 Web 页面上下文中分析 JavaScript 代码的独特技术。

  交互分析(“glass box 扫描”)

  动态测试引擎可与驻留在 Web 服务器本身上的专用 glass-box 代理程序交互,从而使 AppScan 能够比仅通过传统动态测试时识别更多问题并具有更高准确性。

  AppScan 的高级功能包括:

  常规和法规一致性报告,并提供超过 40 个不同的开箱即用模板

  通过 AppScan eXtension Framework 或通过使用 AppScan SDK 直接集成到现有系统内来实现的定制和可扩展性

  链接分类功能,超越应用程序安全性以确认由指向恶意或其他不需要的站点的链接向用户带来的风险

  AppScan Standard 可帮助您在站点部署之前并且为生产阶段的进行中风险评估来降低 Web 应用程序攻击和数据违规的风险。

软件特色

  “AppScan® 全面扫描”包含两个阶段:探索和测试。 尽管扫描过程的绝大部分对于用户来说实际上是无缝的,并且直到扫描完成几乎不需要用户输入,但理解其后的原则仍然很有帮助。

  探索阶段

  在第一个阶段中,AppScan 通过模拟 Web 用户单击链接和填写表单字段来探索站点(Web 应用程序或 Web 服务)。这就是“探索”阶段。

  AppScan 将分析它所发送的每个请求的响应,查找潜在漏洞的任何指示信息。 AppScan 接收到可能指示有安全漏洞的响应时,它将自动基于响应创建测试,并通知所需验证规则,同时考虑在确定哪些结果构成漏洞以及所涉及到安全风险的级别时所需的验证规则。

  在发送所创建的特定于站点的测试之前,AppScan 将向应用程序发送若干格式不正确的请求,以确定其生成错误响应的方式。 之后,此信息将用于增加 AppScan 的自动测试验证过程的精确性。

  测试阶段

  在第二个阶段,AppScan 将发送它在探索阶段创建的数千个定制测试请求。 它使用定制验证规则记录和分析应用程序对每个测试的响应。 这些规则既可识别应用程序内的安全问题,又可排列其安全风险级别。

  无 Web 服务的站点

  如果是没有 Web 服务的站点,那么为 AppScan® 提供起始 URL 和登录认证凭证可能足以使其能够测试站点。

  如有必要,还可以通过 AppScan 手动搜寻站点,以便能够访问仅通过特定用户输入才能到达的区域。

  Web 服务

  为了能够有效扫描 Web Service,AppScan 安装包含一项工具,用户通过它可查看 Web 服务中整合的各种方法,处理输入数据以及检查来自服务的反馈。

  您首先需要为 AppScan 提供服务的 URL。 集成的“通用服务客户机 (GSC)”使用服务的 WSDL 文件以树格式显示可用的单独方法,并且会创建用于向服务发送请求的用户友好 GUI。您可以使用此界面输入参数和查看结果。此过程由 AppScan 进行“记录”,并且用于在 AppScan 扫描站点时创建针对服务的测试。

使用说明

  需要用户交互

  这些是由于需要用户提供 AppScan® 所无法提供的输入而未发送的请求。您可以配置 AppScan 以提供输入;请参阅“自动表单填充”视图。 如果您遗漏了某些应用程序参数,或选择不使用自动表单填充器,那么 AppScan 将会提供交互式 URL 列表供您复审。

  您可以检查交互式 URL 列表。 如果您想要扫描这些页面,那么要提供“手动探索”中要求的用户信息。

  建议您仔细检查交互式 URL 的列表,填写所需数据,然后发送这些请求。 AppScan 之后将在“测试”阶段包括这些 URL。

  通过使 AppScan 能够发送这些请求,站点中先前不可访问的整个新部分可能得以访问。因此,您访问交互式 URL 后,应该重新探索您的应用程序(扫描 > 重新扫描 > 探索)。

  导出扫描结果

  扫描完成时,结果将显示在主窗口上。 其他视图(问题、修复、应用程序数据)提供经过滤可使用的扫描结果。

  您可以通过不同方法从 AppScan® 导出扫描结果:

  配置并生成 AppScan 报告;导出为 PDF 或其他可读可移植格式。

  从“问题”中选择测试变体,并允许 AppScan 将变体信息的 zip 文件附加到新电子邮件。 请参阅结果:安全问题。

  从完整扫描结果中生成数据库或 XML 文件。

  修复任务:应用程序树

  应用程序树显示已扫描的应用程序的文件夹和文件。 树中每个节点都有一个计数器,显示节点中有多少项修复任务。 每个节点的计数将会等于或少于问题视图的计数,这是由于一项修复任务可能会解决多个问题。

  应用程序树显示以下级别的修复任务:

  任务名称

  URL

  参数或 cookie

  针对若干 URL 上找到的问题而设计的单个任务以及其下的 URL 将列出一次。

  在应用程序树中选择一个节点,以过滤结果列表,这样将仅显示所选节点的结果



已有 0 人发表留言,猛击->> 这里<<-参与讨论


ITeye推荐



相关 [appscan 安全漏洞] 推荐:

APPScan安全漏洞扫描

- - 互联网 - ITeye博客
欢迎有需要的朋友们前来下载使用. 个人认为appscan扫描太慢,不如WVS扫描快,可配合使用. IBM AppScan安装破解教程. 1、在本站提供的百度网盘地址中下载这两个文件,AppScan_Std_9.0.3.6_Eval_Win.exe是安装主程序,LicenseProvider.dll为破解文件,双击AppScan_Std_9.0.3.6_Eval_Win.exe进行安装.

Gmail发现安全漏洞

- Royce - Solidot
6月1日,Google官方博客宣布数百Gmail用户遭到黑客攻击,搜索巨人称帐户劫持不是Gmail本身的安全漏洞所致. 攻击者使用的钓鱼攻击,他们向特定帐户发送一封邮件,内有钓鱼网址链接,欺骗用户输入密码. 然而今天Gmail用户温云超发现Google的邮件服务确实存在安全问题,他演示了被钓鱼的过程(YouTube),他收到一封“李承鹏参选人大,邀请你参加”的邮件,文章呼吁支持者前往一个链接支持李承鹏.

安全扫描器IBM Appscan v8.8

- - FreeBuf.COM
之前使用FreeBuf大牛共享APPSCAN8.7,最近电脑换了Win8.1,再装APPSCAN8.7时,发现没办法使用,装了.NET Framework 3.5也是一样,去官方一看才知道8.7版本的APPSCAN不支持Win8.1. 不过还好有高版本的APPSCAN支持Win8.1,就比如APPSCAN8.8(8.7之后都支持了Win8.1).

IBM Rational AppScan使用详细说明

- - 开源软件 - ITeye博客
本文将详细介绍Appscan功能选项设置的细节,适合E文一般,初次接触Appscan的童鞋参考阅读.. Appscan是web应用程序渗透测试舞台上使用最广泛的工具之一.它是一个桌面应用程序,它有助于专业安全人员进行Web应用程序自动化脆弱性评估. 本文侧重于配置和使用Appcan,分析扫描结果将在下一篇文章中讨论..

WebGL存在严重的安全漏洞

- CandyFrankie - Solidot
Panggit 写道 "HTML5中的WebGL技术已在Firefox和Chrome等浏览器中实现,并被默认开启,但这实际上给浏览器带来了极大的安全隐患. 问题根源在于,大多显卡以及显卡驱动在设计时并不考虑安全问题,而将相关安全问题交由操作系统完成. 但浏览器沙盒跳过了这一环节默认WebGL可以被安全执行,这会使脚本取得跨域名的执行权限,甚至取得访问本地文件的权限.

Tor修复部分安全漏洞

- Yan - Solidot
法国研究人员Eric Filiol声称发现了Tor匿名网络加密系统存在一个严重漏洞,能让攻击者发现网络中隐蔽的节点,甚至利用漏洞控制使用者的计算机. 漏洞与Tor加密实现有关,研究人员没有披露攻击细节. Tor项目基金会发表声明驳斥了 Filiol的部分说法,称他的数据是有缺陷,他的声明有夸大之嫌,同时指出研究人员没有与Tor分享研究数据.

Web安全扫描器 IBM Appscan 9.0发布

- - FreeBuf.COM
IBM近日发布了最新的Web 安全扫描器Appscan 9.0 ,个人认为是目前商业扫描器中做的最好的,新的版本中增加了许多有用有的新特性,包括如下:. ‍‍ .NET 服务器的 glass box 扫描‍ ‍. 除了 Java 服务器之外,现在还可以在 .NET 服务器上安装 glass box 代理程序,从而将 glass box 扫描功能也引入 .NET 平台上运行的应用程序.

Metasploit Framework 4.0发布,开源的安全漏洞检测工具

- Tairan Wang - ITeye资讯频道
Metasploit是一款开源的安全漏洞检测工具,由于是免费的,因此常被安全工作人员用来检测系统的安全性. Metasploit Framework (MSF)是2003 年以开放源代码方式发布、可自由获取的开发框架,这个环境为渗透测试、shellcode 编写和漏洞研究提供了一个可靠的平台. 这个框架主要是由Ruby编写的,并带有一些C语言和汇编语言组件.

部分 HTC 手機發現存在高危安全漏洞

- Eastar Lee - Android 資訊雜誌 android-hk.com
根據來自 Android Police 的報導,有安全研究人員在部分 HTC 手機上發現了一個高危安全漏洞,允許犯罪分子很輕易取得完整手機及個人資料. 而目前所知受影響的手機包括 EVO 4G、EVO 3D、Thunderbolt、EVO Shift 4G、MyTouch 4G Slid、Sensation 等,全都屬於硬體規格較高階的 HTC 機款.

Pod2g发现iPhone多年的安全漏洞

- - 快乐无极的博客
  Pod2g宣布已发现iOS中的一个安全漏洞,可以用来进行SMS短信造假. 这个漏洞从第一代iPhone就开始存在,直到iOS 6 beta 4还没有被修复.   短信在有效载荷过程中的一个环节叫做UDH,这个UDH是任意的,但是限定了许多先进的功能不跟所有的移动设备兼容. 其中有一个功能是让用户更改短信的回复地址.