网站扫描测试
前提:带有页面网站,主要根据网站入口自动摸取网页链接进行安全扫描,提供扫描、报告、修复建议等
两款软件可选择使用(相对来说)
1. IBMappscan工具介绍(强烈推荐)
- appscan有自己的用例库,版本越新用例库月全,针对漏洞的检测越全面,被检测系统的安全性相关较高
- 目前网上流传的最新版本是9,appscan为IBM一款商业用途的安全扫描工具
- 个人尝试使用过9以下的版本,都需要配置乱七八糟的玩意儿,不知道是不是电脑兼容问题,反正没搞定,后来不断的搜索找到9的版本以及破解文件.
- 该工具分全自动扫描以及分批扫描,相对来说检测更全面
安装与破解
- 这里我的IBM的安装路径是:F:\Program Files (x86)\IBM\AppScan Standard\
- LicenseProvider.dll放在F:\Program Files (x86)\IBM\AppScan Standard\目录下并替换,虽然许可证显示演示,但已破解
扫描的原则
Appscan全面扫描包含两个阶段:探索和测试.
- 在第一个探索里,appscan会通过模仿web用户单击链接并填写表单字段来探索站点(web应用程序或web server)这就是探索阶段,探索阶段可以遍历每个URL路径,并分析后创建测试点
- 在第二个测试阶段,appscan会发送它在探索阶段创建的成千上万个定制的测试请求,通过你定制好的测试策略分析每个测试的响应,最后根据规则识别应用程序中的安全问题,并排列这些安全问题的风险级别。
具体使用
- 新建扫描→appscan(自动或手动)→输入起始url(也就是网站url地址)→下一步→记录(如果是不需要登录的网站,或者不测登录,可以选择无,也就是会话检测禁用)→启动全面自动搜索(也可以使用其他方式)
- 测试策略
- 报告内容
2. Netsparker工具介绍
工具简介(安装及破解)
-
Netsparker是一款综合型的web应用安全漏洞扫描工具,它分为专业版和免费版,免费版的功能也比较强大
-
Netsparker与其他综合 性的web应用安全扫描工具相比的一个特点是它能够更好的检测SQL Injection和 Cross-site Scripting类型的安全漏洞。
工具的具体使用
- 输入目标URL并且选择合适的扫描策略
- 点击‘Start Scan Wizard’并且在接下来的窗口中点击Next
- 你可以点击‘Optimize’按钮(一系列系统推荐选项),当然你也可以继续Next
- 点击‘Scan Settings’选项卡进行爬虫等配置
- 确认配置
- 点击‘Start Session’进行初始化本次扫描项目,并且在下一个窗口中点击‘Start scan’
