appscan只要關注應用層的安全問題
一,appscan掃描
1,白盒掃描=靜態掃描,掃描源代碼。
2,動態掃描=黑盒掃描,用工具來模擬黑客的攻擊,查看應用層的響應。產品內部會有大量受攻擊的庫,當我們把一個模擬攻擊發給我們的應用的時候,然后用工具來分析響應。
二,AppScan Web應用掃描流程
一,appscan掃描
1,白盒掃描=靜態掃描,掃描源代碼。
2,動態掃描=黑盒掃描,用工具來模擬黑客的攻擊,查看應用層的響應。產品內部會有大量受攻擊的庫,當我們把一個模擬攻擊發給我們的應用的時候,然后用工具來分析響應。
二,AppScan Web應用掃描流程
三,自動網絡探索能力優勢
四,設置配置向導
測試網址:http://demo.testfire.net/bank/login.aspx
文件----->新建----->預定義模板(選擇“常規掃描"為例)----->web應用程序掃描------>輸入需要測試網址
點擊"記錄”
Username:jsmith
password:demo1234
然后關閉Altoro Mutual:Online Banking Longin-Appscan 瀏覽器,在掃描配置向導頁面的“使用以下登錄序列登錄應用程序”框中會顯示登錄的會員登錄成功后的網址信息,然后點擊“下一步”
再點擊下一步
點擊完成
選擇"是“自動保存
保存掃描結果
五,web services掃描
接口測試網址:http://demo.testfire.net/transfer/transfer.asmx?wsdl
在掃描配置向導中選擇通用服務客戶機
設置起始URL
默認測試策略web Service
完成
顯示通用服務窗口
輸入用戶id選擇調用
轉賬接口數據的輸入
方法調用
探索完成之后關閉Generic Sercice Client窗口,appscan就會對探索的結果進行分析掃描,
然后在掃描選項中選擇僅測試
顯示掃描結果
六、Glass Box Scanning-架構
打開wed應用掃描的文件,在工具菜單選項中選擇Glass box代理程序管理-----玻璃盒代理
可以幫助用戶發現隱藏的參數,頁面
七、記錄代理