appscan 10中文版
1、先解压缩,得到获得appscan10中文版原程序;
2、首先双击“appscan_setup_10.0.0---”开始安装,选择简体中文;
3、勾选“我接受许可协议中的全部条款”,然后继续安装;
4、选择软件安装路径,默认即可;
5、安装完成后先不要运行软件,---完成退出引导;
6、将文件夹中rcl_rational.dll到软件安装目录下替换,
7、然后运行appscan 10中文版软件,---”帮助-----切换到ibm---“;
8、选择打开appscan license manager,appscan黑盒扫描,在”---配置-节点锁定---文件“中appscanstandard.txt作为---;
9、完成,就可以使用了。
appscan使用---注意事项
【1】appscan扫描过程中,会向服务器发送较多请求,会占用一定的正常请求访问的资源,可能导致一些垃圾数据,建议只在本地测试环境执行
【2】使用appscan之前,请提前备份好数据库的数据,假若扫描致使服务器异常关闭,则需重启服务;若扫描产生的请求数据过多,或web程序出现异常,可能需要从备份数据恢复还原。一般情况下,正常扫描web程序很少可能出现web服务异常的情形
【3】appscan扫描配置时,有区分为web applicationweb应用程序和web serviceweb服务的扫描方向。若只对web程序本身的漏洞检测,就选web application扫描即可;若选择web service扫描,则需提前告知服务器维护的负责人,建立异常情况发生的处理机制,蕞好避开访问请求的高峰or办公人员集中使用的时间,比如下班后自动扫描
appscan漏洞复现方式
2、复现跨站点请求csrf漏洞
在实际的项目中,只要测试报告中有csrf的漏洞问题,appscan修复建议,就可以人工去查看t或get接口的请求头,是否包含token和referer。
利用get请求复现的方法很简单:
1在浏览器中登录系统,找到一个get接口链接a,appscan,下来
2再去百度,---搜索一个博客链接b,找到元素的链接b后,web服务渗透测试解决方案,右键,编辑,直接将b替换为所测系统的接口链接a
3---博客上---替换链接对应的文字,如果跳转的页面返回了接口a的信息,则证明攻击成功,存在跨站点请求csrf的问题,如果不是,则会返回无权限或接口的其他状态码等等
|
登录后台
