網站掃描測試
前提:帶有頁面網站,主要根據網站入口自動摸取網頁鏈接進行安全掃描,提供掃描、報告、修復建議等
兩款軟件可選擇使用(相對來說)
1. IBMappscan工具介紹(強烈推薦)
- appscan有自己的用例庫,版本越新用例庫月全,針對漏洞的檢測越全面,被檢測系統的安全性相關較高
- 目前網上流傳的最新版本是9,appscan為IBM一款商業用途的安全掃描工具
- 個人嘗試使用過9以下的版本,都需要配置亂七八糟的玩意兒,不知道是不是電腦兼容問題,反正沒搞定,后來不斷的搜索找到9的版本以及破解文件.
- 該工具分全自動掃描以及分批掃描,相對來說檢測更全面
安裝與破解
- 這里我的IBM的安裝路徑是:F:\Program Files (x86)\IBM\AppScan Standard\
- LicenseProvider.dll放在F:\Program Files (x86)\IBM\AppScan Standard\目錄下並替換,雖然許可證顯示演示,但已破解
掃描的原則
Appscan全面掃描包含兩個階段:探索和測試.
- 在第一個探索里,appscan會通過模仿web用戶單擊鏈接並填寫表單字段來探索站點(web應用程序或web server)這就是探索階段,探索階段可以遍歷每個URL路徑,並分析后創建測試點
- 在第二個測試階段,appscan會發送它在探索階段創建的成千上萬個定制的測試請求,通過你定制好的測試策略分析每個測試的響應,最后根據規則識別應用程序中的安全問題,並排列這些安全問題的風險級別。
具體使用
- 新建掃描→appscan(自動或手動)→輸入起始url(也就是網站url地址)→下一步→記錄(如果是不需要登錄的網站,或者不測登錄,可以選擇無,也就是會話檢測禁用)→啟動全面自動搜索(也可以使用其他方式)
- 測試策略
- 報告內容
2. Netsparker工具介紹
工具簡介(安裝及破解)
-
Netsparker是一款綜合型的web應用安全漏洞掃描工具,它分為專業版和免費版,免費版的功能也比較強大
-
Netsparker與其他綜合 性的web應用安全掃描工具相比的一個特點是它能夠更好的檢測SQL Injection和 Cross-site Scripting類型的安全漏洞。
工具的具體使用
- 輸入目標URL並且選擇合適的掃描策略
- 點擊‘Start Scan Wizard’並且在接下來的窗口中點擊Next
- 你可以點擊‘Optimize’按鈕(一系列系統推薦選項),當然你也可以繼續Next
- 點擊‘Scan Settings’選項卡進行爬蟲等配置
- 確認配置
- 點擊‘Start Session’進行初始化本次掃描項目,並且在下一個窗口中點擊‘Start scan’
