一、簡介
AppScan是IBM的一款web安全掃描工具,具有利用爬蟲技術進行網站安全滲透測試的能力,能夠根據網站入口自動摸取網頁鏈接進行安全掃描,提供了掃描、報告和修復建議等功能。
appscan有自己的用例庫,版本越新用例庫月全,針對漏洞的檢測越全面,被檢測系統的安全性相關較高,目前網上流傳的最新版本是9,appscan為IBM一款商業用途的安全掃描工具,但是網絡存在破解版。
二、下載
1.appscan10中文破解版-網盤地址:https://pan.baidu.com/s/1oha9zuKs4oSSrxJs-96z2Q提取碼: 36az
2.官方文檔(強烈建議先看下官方文檔): https://help.hcltechsw.com/appscan/Standard/10.0.5/home.html
三、安裝
四、破解
1、復制 AppScanStdCrk 文件夾內的 rcl_rational.dll 文件到 AppScan安裝目錄,替換 rcl_rational.dll 文件
2、打開 AppScan軟件-幫助-切換到IMB許可證-打開 AppScan License Manager...-添加 AppScanStandard.txt 文件到許可證配置
AppScanStandard.txt復制到C:\Program Files (x86)\HCL\AppScan Standard
完成
五、使用
提供的測試網站
demo.testfire.net(asp網站)——用戶名:jsmith 密碼: Demo1234
http://testhtml5.vulnweb.com/(php網站)
1.打開AppScan
2.新建-->掃描web應用程序
3.進入掃描配置向導頁面,URL輸入框的地址即為被測網址or其IP地址,如輸入以下被測url,點擊“下一步”
PS:
a、可以打開AppScan內置瀏覽器查看被測鏈接是否能正常訪問;
b、以下被測網址為某個專門測試用的漏洞網站,非常規使用的網站
4.登錄方法:根據實際需要選擇(如:自動),用戶名和密碼即為被測網站的登錄賬戶,點擊“下一步”(如果有驗證碼則不適合這種方式)
提示:
a、若登錄方法選擇“記錄”,則可通過界面右側的“記錄(R)”按鈕打開APPScan內置瀏覽器並輸入登錄信息,關閉內置瀏覽器后,AppScan即可記錄該用戶名和密碼,掃描的時候相當於是已登錄此賬戶的狀態進行掃描;
b、若選擇“提示”,則根據網站掃描探索過程中需要登錄會提示輸入登錄信息,人工輸入正確的賬號信息之后繼續掃描;
c、若選擇“無”,則不需輸入登錄賬戶(滲透一般不允許登陸)
5.選擇適當的操作策略(一般保持默認選擇,即“缺省值”),點擊“下一步”
6.設置啟動模式,根據實際需要選擇(如:僅使用自動“探索”啟動),點擊“完成”,即可開始啟動掃描or測試
注意:
a、全面自動掃描:探索的同時,也進行攻擊測試;
b、僅自動“探索”:自動探索網站的目錄結構,可被測的鏈接范圍及數目,不作實際攻擊測試;
c、手動探索:先通過AppScan內置瀏覽器打開被測網站,手動點擊不同的目錄頁面,然后AppScan記錄之;
d、稍后啟動掃描:先把此次網站的掃描配置進行保存,后續若想掃描的時候再繼續操作。
7.保存配置:比如點擊“是”,將此次配置命名保存到指定文件夾下
8.待步驟7保存配置之后,即會自動跳轉到掃描網站的界面開始掃描,一般掃描時間根據測試范圍和策略有關,這里可以看到掃描進度
提示:
掃描過程中,若掃描時間較長,可自動讓其掃描,或者點擊“暫停”-保存本次掃描,然后下次繼續未掃描的過程;若直接點擊右上角“×”關閉AppScan,則不會保存本次掃描的過程
9.掃描完成之后,可查看掃描的結果如下所示
10.點擊“掃描”-“僅測試”,開始啟動對此次探索結果的攻擊測試
根據掃描測試過程中的APPScan工作情況,是否有掃描出安全漏洞,是否在掃描過程中進度受阻而不能繼續掃描,是否覆蓋到設定的url范圍,對同一模塊可重復掃描做對比,調整獲得適合自己環境的配置
11.測試完成之后,保存本次AppScan掃描測試的結果;從統計出的安全性問題,可以查看對應的漏洞鏈接、請求和響應、修復建議
12.點擊“報告”,創建不同要求的安全報告
六、AppScan使用特別注意事項
【1】AppScan掃描過程中,會向服務器發送較多請求,會占用一定的正常請求訪問的資源,可能導致一些垃圾數據,建議只在本地測試環境執行
【2】使用AppScan之前,請提前備份好數據庫的數據,假若掃描致使服務器異常關閉,則需重啟服務;若掃描產生的請求數據過多,或Web程序出現異常,可能需要從備份數據恢復還原。一般情況下,正常掃描Web程序很少可能出現Web服務異常的情形
【3】AppScan掃描配置時,有區分為Web Application(Web應用程序)和Web Service(Web服務)的掃描方向。若只對Web程序本身的漏洞檢測,就選Web Application掃描即可;若選擇Web Service掃描,則需提前告知服務器維護的負責人,建立異常情況發生的處理機制,最好避開訪問請求的高峰or辦公人員集中使用的時間,比如下班后自動掃描
【4】AppScan掃描的結果並不代表完全真實的情況,受限於所用掃描器版本的漏洞規則庫的規則,以及操作者的配置策略,掃描過程中有可能會使得掃描器出現誤判or漏測。如有必要,還需對掃描的結果進行人工校驗,可對同一Web應用分次進行掃描對比差異性
【5】掃描配置時,一般按照默認的測試策略-WASC威脅分類即可;若服務器本身所能承受的性能壓力不強,or存在較多漏洞的時候,不宜選擇“侵入式”策略,該策略存在着可能會入侵服務器、關閉服務、破壞數據庫等風險
【6】使用破解版的AppScan掃描Web應用時,若Web網站本身結構比較復雜、模塊眾多、涉及的url數目巨大(幾萬-十多萬),則不宜一次性全站掃描,有可能連續掃描幾個小時都不能探索完網站的所有結構。持續時間過長還可能造成AppScan出現卡頓,顯示“正在掃描中”,但實際上已經沒有繼續再掃描。因此,當第一次探索了大概的網站結構和容量之后,若容量巨大,最好分而治之,按模塊結構分次進行掃描測試
【7】結果分析(Analysis)
在APPScan掃描結果基礎上,根據不同的嚴重級別進行排序、手工+工具驗證的方式對漏洞驗證可靠性,排除誤報的情況,並盡可能找出漏報的情況,把本次掃描結果匯總,對以上已驗證存在的安全漏洞排列優先級、漏洞威脅程度,並提出每個漏洞的修復建議
然后,再把此次安全漏洞整理的報告提交給項目負責人,由負責人決定哪些漏洞轉給開發工程師修復,而后再由安全測試工程師進行回歸驗證修復的狀況