当前位置:文档之家› web安全扫描工具

web安全扫描工具

web安全扫描工具
web安全扫描工具

web安全扫描工具

扫描程序可以在帮助造我们造就安全的Web站点上助一臂之力,也就是说在黑客“黑”你之前,先测试一下自己系统中的漏洞。我们在此推荐10大Web漏洞扫描程序,供您参考。

1. Nikto

这是一个开源的Web服务器扫描程序,它可以对Web服务器的多种项目(包括3500个潜在的危险文件/CGI,以及超过900个服务器版本,还有250多个服务器上的版本特定问题)进行全面的测试。其扫描项目和插件经常更新并且可以自动更新(如果需要的话)。

Nikto可以在尽可能短的周期内测试你的Web服务器,这在其日志文件中相当明显。不过,如果你想试验一下(或者测试你的IDS系统),它也可以支持LibWhisker的反IDS方法。

不过,并非每一次检查都可以找出一个安全问题,虽然多数情况下是这样的。有一些项目是仅提供信息(“info only” )类型的检查,这种检查可以查找一些并不存在安全漏洞的项目,不过Web管理员或安全工程师们并不知道。这些项目通常都可以恰当地标记出来。为我们省去不少麻烦。

2. Paros proxy

这是一个对Web应用程序的漏洞进行评估的代理程序,即一个基于Java的web代理程序,可以评估Web应用程序的漏洞。它支持动态地编辑/查看HTTP/HTTPS,从而改变cookies和表单字段等项目。它包括一个Web通信记录程序,Web圈套程序(spider),hash 计算器,还有一个可以测试常见的Web应用程序攻击(如SQL注入式攻击和跨站脚本攻击)的扫描器。

3. WebScarab

它可以分析使用HTTP 和HTTPS协议进行通信的应用程序,WebScarab可以用最简单地形式记录它观察的会话,并允许操作人员以各种方式观查会话。如果你需要观察一个基于HTTP(S)应用程序的运行状态,那么WebScarabi就可以满足你这种需要。不管是帮助开发人员调试其它方面的难题,还是允许安全专业人员识别漏洞,它都是一款不错的工具。

4. WebInspect

这是一款强大的Web应用程序扫描程序。SPI Dynamics的这款应用程序安全评估工具有助于确认Web应用中已知的和未知的漏洞。它还可以检查一个Web服务器是否正确配置,并会尝试一些常见的Web攻击,如参数注入、跨站脚本、目录遍历攻击(directory traversal)等等。

5. Whisker/libwhisker

Libwhisker是一个Perla模块,适合于HTTP测试。它可以针对许多已知的安全漏洞,测试HTTP 服务器,特别是检测危险CGI的存在。Whisker是一个使用libwhisker的扫描程序。

6. Burpsuite

这是一个可以用于攻击Web应用程序的集成平台。Burp套件允许一个攻击者将人工的和自动的技术结合起来,以列举、分析、攻击Web应用程序,或利用这些程序的漏洞。各种各样的burp 工具协同工作,共享信息,并允许将一种工具发现的漏洞形成另外一种工具的基础。

7. Wikto

可以说这是一个Web服务器评估工具,它可以检查Web服务器中的漏洞,并提供与Nikto一样的很多功能,但增加了许多有趣的功能部分,如后端miner和紧密的Google集成。它为https://www.doczj.com/doc/3c17229589.html,

环境编写,但用户需要注册才能下载其二进制文件和源代码。

8. Acunetix Web Vulnerability Scanner

这是一款商业级的Web漏洞扫描程序,它可以检查Web应用程序中的漏洞,如SQL注入、跨站脚本攻击、身份验证页上的弱口令长度等。它拥有一个操作方便的图形用户界面,并且能够创建专业级的Web站点安全审核报告。

9. Watchfire AppScan

这也是一款商业类的Web漏洞扫描程序。AppScan在应用程序的整个开发周期都提供安全测试,从而测试简化了部件测试和开发早期的安全保证。它可以扫描许多常见的漏洞,如跨站脚本攻击、HTTP响应拆分漏洞、参数篡改、隐式字段处理、后门/调试选项、缓冲区溢出等等。

10. N-Stealth

N-Stealth是一款商业级的Web服务器安全扫描程序。它比一些免费的Web扫描程序,如Whisker/libwhisker、 Nikto等的升级频率更高,它宣称含有“30000个漏洞和漏洞程序”以及“每天增加大量的漏洞检查”,不过这种说法令人质疑。还要注意,实际上所有通用的VA工具,如Nessus, ISS Internet Scanner, Retina, SAINT, Sara等都包含Web 扫描部件。(虽然这些工具并非总能保持软件更新,也不一定很灵活。)N-Stealth主要为Windows平台提供扫描,但并不提供源代码。

-------------------------------------------------------------------------------------------------------------------------- --------------------------------------------------------------------------------------------------------------------------

商业产品*国外

·Acunetix Web Vulnerability Scanner 6:简称WVS,还是不错的扫描工具,不知道检查的太细致还是因为慢,总之经常评估一个网站的时候一晚上不关电脑都扫描不万……但是报表做的不错。一般用这个扫描的话,不用等那么久,像区县政府的,扫20分钟就差不多了。

·IBM Rational AppScan:这个是IBM旗下的产品,扫描速度中规中矩,报表功能相当强大,可以按照法规遵从生成不同的报表,如:ISO27001、OWASP等,界面也很商业化。

·HP WebInspect:没错,的确就是卖PC的HP公司旗下的产品,扫描速度比上面的2个都快得多,东西还算不错。不过这几天在和NOSEC(下面说的“诺赛科技”)掐架,愣是说NOSEC的iiScan免费扫描平台侵犯隐私,说NOSEC有国家背景……这市场了解的!

·N-Stealth:没装成功,不过很多地方在推荐这个

·Burp Suite:貌似是《黑客攻防技术宝典·WEB实战篇》作者公司搞的,安全界牛人。虽然工具没用过,但是这本书的确是不错……如果您做WEB安全,游侠强烈建议您读一下。

商业产品*国内

·智恒联盟WebPecker 网站啄木鸟:程序做的不错,扫描速度很快。

·诺赛科技Pangolin、Jsky:Pangolin做SQL注入扫描,Jsky全面评估,就是上文说的NOSEC,网上扫描平台是iiScan,后台的牛人是zwell。

·安域领创WebRavor:记得流光(FluXay)否?是的,WebRavor就是小榕所写!小榕是谁?搜下……不用我介绍了吧?

·安恒MatriXay 明鉴WEB应用弱点扫描器:还没用过,和NOSEC一样,也有网上扫描平台。

·绿盟NSFOCUS RSAS 极光远程安全评估系统:极光扫描系统新增的WEB安全评估插件,在某客户处见到过扫描报告,不过没用过产品。依照绿盟的一贯风格和绿盟的实力,应该不错。

免费产品

·Nikto:很多地方都在推荐,但游侠本人实在不喜欢命令行产品……各位喜欢的Google或Baidu下吧

·Paros Proxy:基于Java搞的扫描工具,速度也挺快,在淘宝QA团队博客也看到在介绍这个软件。

·WebScarab:传说中很NB的OWASP出的产品,不过我看下载地址的时候貌似更新挺慢

·Sandcat:扫描速度很快,检查的项目也挺多。机子现在就装了这个。

————

·NBSI:应该说是黑客工具更靠谱,国内最早的,可能也是地球上最早的一批SQL 注入及后续工作利用工具,当年是黑站挂马必备……

·HDSI:教主所写,支持ASP和PHP注入,功能就不多说了,也是杀人越货必备!

·Domain:批量扫描的必备产品,通过whois扫描服务器上的服务器,在很长一段时间内风靡黑客圈。

————

·Nessus:当然它有商业版,不过我们常用的是免费版。脆弱性评估工具,更擅长于主机、服务器、网络设备扫描。

·NMAP:主要倾向于端口等的评估。

·X-Scan:安全焦点出品,多少年过去了,依然是很强悍的产品。大成天下曾经做过商业版的“游刃”,但最近已经不更新了,很可惜。

其实能做评估的工具还有很多,如:

·Retina Network Security Scanner

·LANguard Network Security Scanner

·榕基RJ-iTop网络隐患扫描系统

不过和Nessus和NMAP一样,主要倾向于主机安全评估,而不是WEB应用安全评估。但我们在WEB安全评估的时候,不可避免的要对服务器做安全扫描,因此也是必然要用的工具。

好了,大体的也说了下,各位感兴趣的可以在网上找下相关资料或下载。看完感觉有点收获的,就转发给您的朋友吧。现在都凌晨了,刚敲完……游侠(https://www.doczj.com/doc/3c17229589.html,)在此谢过了!

来源:草根网(https://www.doczj.com/doc/3c17229589.html,) - 互联网界的读者文摘

风险评估工具

2010-05-06

根据在风险评估过程中的主要任务和作用原理的不同,风险评估的工具可以分成以下三类。

风险评估与管理工具:集成了风险评估各类知识和判据的管理信息系统,以规范风险评估的过程和操作方法;或者是用于收集评估所需要的数据和资料,基于专家经验,对输入输出进行模型分析。

系统基础平台风险评估工具:主要用于对信息系统的主要部件(如操作系统、数据库系统、网络设备等)的脆弱性进行分析,或实施基于脆弱性的攻击。

风险评估辅助工具:实现对数据的采集、现状分析和趋势分析等单项功能,为

风险评估各要素的赋值、定级提供依据。

1. 风险评估与管理工具

基于信息安全标准的风险评估与管理工具:依据标准或指南的内容为基础,开发相应的评估工具,完成遵循标准或指南的风险评估过程。如ASSET、CC Toolbox等。

基于知识的风险评估与管理工具:并不仅仅遵循某个单一的标准或指南,而是将各种风险分析方法进行综合,并结合实践经验,形成风险评估知识库,以此为基础完成综合评估。如COBRA、MSAT、@RISK等。

基于模型的风险评估与管理工具:对系统各组成部分、安全要素充分研究的基础上,对典型系统的资产、威胁、脆弱性建立量化或半量化的模型,根据采集信息的输入,得到评价的结果。如RA、CORA等。

2. 系统基础平台风险评估工具

脆弱性扫描工具

基于网络的扫描器

基于主机的扫描器

分布式网络扫描器

数据库脆弱性扫描器

渗透性测试工具

根据脆弱性扫描工具扫描的结果进行模拟攻击测试,判断被非法访问者利用的可能性。这类工具通常包括黑客工具、脚本文件等。

一个好的漏洞扫描工具应包括以下几个特性:最新的漏洞检测库;扫描工具必须准确并使误报率减少到最小;扫描器有某种可升级的后端,能够存储多个扫描结果并

提供趋势分析的手段;应包括清晰的且准确地提供弥补发现问题的信息。

3. 风险评估辅助工具

检查列表:基于特定标准或基线建立的,对特定系统进行审查的项目条款。

入侵检测网络或主机造成危害的入侵攻击事件;帮助检测各种攻击试探和误操作;同时也可以作为一个警报器,提醒管理员发生的安全状况。

安全审计工具:用于记录网络行为,分析系统或网络安全现状;它的审计记录可以作为风险评估中的安全现状数据,并可用于判断被评估对象威胁信息的来源。

拓扑发现工具:主要是自动完成网络硬件设备的识别、发现功能。

资产信息收集系统:通过提供调查表形式,完成被评估信息系统数据、管理、人员等资产信息的收集功能。

其他:评估指标库、知识库、漏洞库、算法库、模型库等。

技术简介

该工具完成对网络信息系统安全风险状况的评估,并提供相应的安全建议,提供评估过程中需要的各种数据报表。其中,风险评估所需的大量数据由系统的专家库提供,用户通过筛选和增补,可以便捷地获取实际信息系统的数据,大大减少了风险评估的工作量。同时,系统提供的各功能也规范了风险评估的流程和输出结果。

该系统由基础数据获取模块、风险评估模块、安全建议模块和报告输出模块四个部分组成。

功能指标

(1) 基础数据获取模块的功能

该模块由专家数据库(缺省的资源库表、威胁库表、脆弱性库表等等)和真实数据采集两部分组成。用户通过专家数据库和特定的一些数据采集工具和渠道(如:脆弱性扫描、IDS、主机配置检查列表、人工调查),获得风险评估所需的基础数据。

(2) 风险评估模块的功能

该模块利用用户核实和完善的基础数据,按照国家标准制定的算法或用户定制的计算方法,计算风险的大小,得到各风险的等级和信息系统的风险等级。

(3) 安全建议模块的功能

在此基础上,该模块提供针对每个风险的对抗措施建议。用户可对此进行增补。在选定安全措施后,该模块将计算出残留风险的大小。

(4) 报告输出模块的功能

该模块输出风险评估过程中产生的信息系统的一些重要数据报表,如,资源表、脆弱性表、风险表、安全措施建议表、残留风险表等等。

适用范围

该工具完成对网络信息系统安全风险的评估,可以用于相关风险评估服务机构和信息系统所在组织对信息系统的风险状况进行全面和深入的了解,并提供相应的安全建议。

appscan工具简述

1.appscan是一个web应用安全测试工具。 2.web攻击的类型比如: ●跨站脚本攻击:为了搜集用户信息,攻击者通常会在有漏洞的程序中插 入 JavaScript、VBScript、 ActiveX或Flash以欺骗用户,达到盗取用 户帐户,修改用户设置,盗取/污染cookie,做虚假广告等目的。如注入 一个JavaScript弹出式的警告框:alert(1) ●消息泄露:web应用程序在处理用户错误请求时,程序在抛出异常的时候 给出了比较详细的内部错误信息,而暴露了不应该显示的执行细节,如 文件路径、数据库信息、中间件信息、ip地址等 ●SQL注入:将SQL命令人为地输入到URL、表格域、或者其他动态生成的 SQL查询语句的输入中,完成SQL攻击。以达到绕过认证、添加、删除、修改数据等目的。如sql查询代码为: strSQL = "SELECT * FROM users WHERE (name = '"+ us erName + "') and (pw = '"+ passWord+"');" 改为: strSQL = "SELECT * FROM users WHERE (name = '1' OR '1'='1') and (pw = '1' OR '1'='1');" 达到无账号密码,亦可登录网站。 3.appscan使用步骤:总的来说,就是指定要扫描的URL-选择测试策略-执行 扫描探索-执行测试-结果分析。 1)选择测试策略,文件-新建-选择一个模板“常规扫描”

2)出现扫描配置向导页面,这里是选择“AppScan(自动或手动)“,如图: 3)输入扫描项目目标URL,如果只想扫描指定URL目录下链接的话把“仅扫 描此目录中或目录下的链接”勾选上。 4)点击”下一步“,选择认证模式,出现登录管理的页面,这是因为对于 大部分网站,需要用户名和密码登录进去才可以查看许多内容,未登录的情况下就只可以访问部分页面。这里我选择的第一个,需要点击右边的记录进入浏览器手动登录,让它记录下这个登录信息。

AppScan常见故障及解决方法

IBM Appscan常见问题及解决方案 最近为了网站的安全测试,接触了IBM提供的一款工具--Appscan,可是好不容安装好后,在运行过程中问题也不断冒出,查询了一些资料,将遇到的问题及解决的方案记录如下: 1、"AppScan虚拟内存不足"错误从而停止工作 问题: 一旦达到内存限制,IBM Rational AppScan将会停止工作并显示错误消息:"AppScan内存需求已超过预定义的限制"。 症状: IBM Rational AppScan因为内存使用量增加从而停止扫描。如果强制选择继续扫描的话,Rational AppScan可能会发生崩溃并丢失所有的工作数据。 原因: 产品使用超出限度的内存量。 解决方案: 为了防止Rational AppScan因为超过内存限度而停止工作,可以进行相应的设定使Rational AppScan当内存使用量相对过大时自动重新启动。这样当扫描因为剩余的虚拟内存量过低从而被迫停止时,Rational AppScan会监测系统注册表的设定来决定是否重新启动。 Rational AppScan 7.7,7.8和7.9 自Rational AppScan 7.7版本以上,在主画面中选择菜单[工具]->[选项]->[高级]页面。 ·检索PerformanceMonitor.RestartOnOutOfMemory属性并将其设定为布尔值True。 还可以使用下面的属性

·检索PerformanceMonitor\minScanTimeDurationForRestart属性并设定适当的DWORD双字节数值,该数值是指定Rational AppScan在遇到内存问题之前应当运行的分钟数。 2、IBM Appscan使用时C盘空间不足的解决办法 症状: IBM Appscan使用时C盘空间不足 原因: Appscan默认会将其temp 文件夹设置为:c:\documents and Settings\All Users\Application Data\IBM\Rational AppScan\temp 当扫描的站点信息很多时,该文件夹大小会剧增,由于C盘空间不足而导致出现“磁盘空间不足”错误而退出。 解决方案: 建立如下环境变量:APPSCAN_TEMP,将其值设置为足够空间的temp文件夹 注意: ①.支持本地磁盘 ②.路径中不能包含中文/空格/特殊字符 ③、IBM Appscan使用时每隔一小时保存一次 这个其实并不能算问题,不过在目标非常大,扫描时间非常长的时候,这个问题会极大影响扫描速度。 解决方案: 在“工具”->“选项”中设置下自动保存时间,默认时间是“60分钟”,可以根据自己需要调节。

如何使用AppScan扫描大型网1

如何使用AppScan扫描大型网站 经常有客户抱怨,说AppScan无法扫描大型的网站,或者是扫描接近完成时候无法保存,甚至保存后的结果文件下次无法打开?;同时大家又都很奇怪,作为一款业界出名的工具,如此的脆弱?是配置使用不当还是自己不太了解呢?我们今天就一起来讨论下AppScan扫描大型网站会遇到的问题以及应对。 AppScan工作原理和网站规模讨论 1)网站规模 2)AppScan的工作原理 3)扫描规模:AppScan的扫描能力收到哪些因素的影响? 好的,对AppScan工具和网站的特点有了了解以后,我们来讨论如何更有效地使用AppScan来进行安全扫描,特别是扫描大型网站? 使用AppScan来进行扫描 我们按照PDCA的方法论来进行规划和讨论;建议的AppScan使用步骤:PDCA: Plan,Do,check, Action and Analysis. 计划阶段:明确目的,进行策略性的选择和任务分解。 1)明确目的:选择合适的扫描策略 2)了解对象:首先进行探索,了解网站结构和规模 3)确定策略:进行对应的配置 a)按照目录进行扫描任务的分解 b)按照扫描策略进行扫描任务的分解 执行阶段:一边扫描一遍观察 4)进行扫描 5)先爬后扫(继续仅测试) 检查阶段(Check) 6)检查和调整配置 结果分析(Analysis) 7)对比结果 8)汇总结果(整合和过滤)

其他常见的AppScan配置: 1)扫描保存的间隔时间 2)内存使用量 3)临时文件的保存路径 4)AppScan的工作原理 AppScan其实是一个产品家族,包括众多的应用安全扫描产品,从开发阶段的源代码扫描的AppScan source edition,到针对WEB应用进行快速扫描的AppScan standard edition.以及进行安全管理和汇总整合的AppScan enterprise Edition等,我们经常说的AppScan就是指的桌面版本的AppScan,即AppScan standard edition.其安装在Windows操作系统上,可以对网站等WEB 应用进行自动化的应用安全扫描和测试。 来张AppScan的截图,用图表说话,更明确。 图表 1 AppScan标准版界面 请注意右上角,单击“扫描”下面的小三角,可以出现如下的三个选型“继续完全扫描”,“继续仅探索”,“继续仅测试“,有木有?什么意思?理解了这个地方,就理解了AppScan的工作原理,我们慢慢展开: 还没有正式开始,所以先不管“继续“,直接来讨论’完全扫描”,“仅探索”,“仅测试”三个名词: AppScan是对网站等WEB应用进行安全攻击,通过真刀真枪的攻击,来检查网站是否存在安全漏洞;既然是攻击,肯定要有明确的攻击对象吧,比如北约现在的对象就是卡扎菲上校还有他的军队。对网站来说,一个网站存在的页面,可能成千上万。每个页面也都可能存在多个字段(参数),比如一个登陆界面,至少要输入用户名和密码吧,这就是一个页面存在两个字段,你提交了用户名密码等登陆信息,网站总要有地方接受并且检查是否正确吧,这就可能存在一个新的检查页面。这里的每个页面的每个参数都可能存在安全漏洞,所有都是被攻击对象,都需要来检查。

APPSCAN扫描说明

APPSCAN扫描说明 安装Appscan之前,关闭所有打开的应用程序。点击安装文件,会出现安装向导,如果你还没有安装.Net framwork,Appscan安装过程会自动安装,并需要重新启动。按照向导的指示,可以很容易的完成安装.如果你使用的是默认许可,你将只允许扫描appscan中的测试网站。要扫描自己的网站,需要付费购买许可版本. 探索和测试阶段: 在我们开始扫描之前,让我们对Appscan的工作做一个了解.任何自动化扫描器都有两个目标:找出所有可用的链接和攻击寻找应用程序漏洞。 探索(Explore): 在探索阶段,Appscan试图遍历网站中所有可用的链接,并建立一个层次结构。它发出请求,并根据响应来判断哪里是一个漏洞的影响范围。例如,看到一个登陆页面,它会确定通过绕过注入来通过验证.在探索阶段不执行任何的攻击,只是确定测试方向.这个阶段通过发送的多个请求确定网站的结构和即将测试的漏洞范围。 测试(Test): 在测试阶段,Appscan通过攻击来测试应用中的漏洞.通过释放出的实际攻击的有效载荷,来确定在探索阶段建立的安全漏洞的情况.并根据风险的严重程度排名。 在测试阶段可能回发现网站的新链接,因此Appscan在探索和测试阶段完成之后会开始另一轮的扫描,并继续重复以上的过程,直到没有新的链接可以测试。扫描的次数也可以在用户的设置中配置. 1. 新建扫描

2.

点击完全扫描配置,弹出以下窗口。

选择环境定义,并对网站使用的web服务器,应用程序服务器,数据库服务器进行按网站的配置填写。完成后点确定,并再点扫描目标笛导下一步。弹出以下窗口。

使用 AppScan 进行扫描

针对大型网站的扫描,我们按照戴明环 PDCA 的方法论来进行规划和讨论,建议 AppScan 使用步骤:计划(Plan)、执行(Do)、检查(check)、分析(Analysis and Action)。 1.在计划阶段:明确目的,进行策略性的选择和任务分解。 明确目的:选择合适的扫描策略 了解对象:首先进行探索,了解网站结构和规模 确定策略:进行对应的配置 按照目录进行扫描任务的分解 按照扫描策略进行扫描任务的分解 2.执行阶段:一边扫描一遍观察 进行扫描 先爬后扫(继续仅测试) 3.检查阶段(Check) 检查和调整配置 4.结果分析(Analysis) 对比结果 汇总结果(整合和过滤) 下面我们针对每个阶段,进行具体的阐述。 准备阶段 AppScan 安装环境要求和检查 为了保证更好的扫描效果,安装 AppScan 的硬件建议配置如下: Rational AppScan 安装配置要求 硬件最低需求 处理器Pentium P4,2.4 GHz 内存2 GB RAM 磁盘空间30 GB 网络1 NIC 100 Mbps(具有已配置的 TCP/IP 的网络通信) 其中,处理器和内存建议越大越好,而磁盘空间,建议系统盘(一般是 C 盘)磁盘空间至少保留 10G,如果系统盘磁盘空间比较少,可以考虑把用户文件等保存在其他盘;如默认的用户文件是:C:\Documents and Settings\Administrator\My Documents\AppScan;可以修改为其他路径。该路径可以在菜单栏中依次选择工具 - 选项 - 一般 - 文件位置部分修改。 图 1. 设置文件保存路径

跟我学IBM AppScan Web安全检测工具——应用AppScan软件工具进行安全检测(第1部分)

1.1跟我学IBM AppScan Web安全检测工具——如何应用AppScan软件工具进行安全检测(第1部分) 1.1.1新建和定义扫描配置 1、新建一个新的扫描 启动AppScan后可以在欢迎界面中点击“创建新的扫描”链接,或者选择“文件”菜单中的“新建”子菜单项目。 都将出现下面的“新建扫描”时所需要选择的模板对话框窗口,主要提供有如下类型的模板——常规扫描、快速且简单的扫描、综合扫描、基于参数的导航、WebSphere

Commerce、WebSphere Portal、https://www.doczj.com/doc/3c17229589.html,、Hacme Bank、WebGoat v5等。 当然,也可以在欢迎对话框界面中选中已经存在的扫描配置文件,从而重用原有的扫描配置结果。 将出现如下的加载信息

可以在此配置文件的基础上继续检测或者显示出以前的检测结果信息。 2、应用某个扫描模板 选择一个适合满足检测要求的扫描模板——在模板中包括已经定义好的扫描配置,选择一个模板后会出现配置向导——本示例选择“常规扫描”模板(使用默认模板)。然后将出现下面的“扫描配置向导”对话框。 扫描配置向导是AppScan工具的核心部分,使用设置向导可以简化检测的配置过程。目前,在本示例程序中没有下载安装“GSC Web Service记录器”组件,因此目前还不能对“Web Service”相关的程序进行扫描。如果在Web应用系统中涉及Web Service,则需要下

载安装“GSC Web Service记录器”组件。 在“扫描配置向导”对话框中选择扫描的类型,目前选择“Web应用程序扫描”类型选择项目。然后再点击“下一步”按钮,将出现下面的“URL和服务器”界面。 3、定义URL和服务器 在“URL和服务器”界面中,根据检测的需要进行相关的配置定义。 (1)Starting URL(扫描的起始网址) 此功能指定要扫描的起始网址,在大多数情况下,这将是该网站的登陆页面或者Web 应用系统的首页面。Rational AppScan 提供有测试站点(https://www.doczj.com/doc/3c17229589.html,,而登录https://www.doczj.com/doc/3c17229589.html, 站点的用户名和密码为:jsmith / Demo1234),但本示例选择“http://XXX.XX.XX.XXX:3030/”(XX考勤系统)作为检测的起始网址,并选择“仅扫描此目录中或目录下的链接”的选择框,从而可以限制只扫描目标Web应用系统所在的工作目录下的各个链接。 (2)Case Sensitive Path(区分大小写的路径) 如果待检测的服务器URL有大小写的区别,则需要选择此项。对大小写的区别取决于服务器的操作系统类型,在Linux/Unix系统中对URL的大小写是敏感的,而Windows是没有此特性的。本示例的检测目标Web应用系统是部署在Windows系统中的,因此不需要选中“区分大小写的路径”的选择项目。 (3)Additional Servers and Domains(其他服务器和域) 在扫描过程中,AppScan尝试抓取本Web应用系统上的所有链接。当它发现了一个链接指向不同的域(比如子站点等),它是不会进行扫描攻击的,除非在“Additional Servers and Domains”(其他服务器和域)中有指定。因此,通过指定该标签下的链接来告诉AppScan 继续扫描,即使它和URL是在不同的域下。

AppScan扫描建议

?登录|注册 ? ? 沉底的石头 ?目录视图 ?摘要视图 ?订阅 【免费公开课】Android APP开发之真机调试环境实现有奖试读—漫话程序员面试求职、升职加薪、创业与生活 AppScan扫描建议 2014-09-10 14:56 6270人阅读评论(0) 收藏举报 分类: 系统安全(4) 1.1 AppScan扫描建议 若干问题的补救方法在于对用户输入进行清理。 通过验证用户输入未包含危险字符,便可能防止恶意的用户导致应用程序执行计划外的任务,例如:启动任意 SQL 查询、嵌入将在客户端执行的 Javascript 代码、运行各种操作系统命令,等等。 建议过滤出所有以下字符: [1] |(竖线符号) [2] & (& 符号) [3];(分号) [4] $(美元符号) [5] %(百分比符号) [6] @(at 符号) [7] '(单引号) [8] "(引号)

[9] \'(反斜杠转义单引号) [10] \"(反斜杠转义引号) [11] <>(尖括号) [12] ()(括号) [13] +(加号) [14] CR(回车符,ASCII0x0d) [15] LF(换行,ASCII0x0a) [16] ,(逗号) [17] \(反斜杠) 以下部分描述各种问题、问题的修订建议以及可能触发这些问题的危险字符:SQL 注入和 SQL 盲注: A. 确保用户输入的值和类型(如 Integer、Date 等)有效,且符合应用程序预期。 B. 利用存储过程,将数据访问抽象化,让用户不直接访问表或视图。当使用存储过程时,请利用 ADO 命令对象来实施它们,以强化变量类型。 C. 清理输入以排除上下文更改符号,例如: [1] '(单引号) [2] "(引号) [3] \'(反斜线转义单引号) [4] \"(反斜杠转义引号) [5] )(结束括号) [6] ;(分号) 跨站点脚本编制: A. 清理用户输入,并过滤出 JavaScript 代码。我们建议您过滤下列字符: [1] <>(尖括号) [2] "(引号) [3] '(单引号)

appscan安全扫描工具使用步骤

目录 1.工具安装 (2) 1.1工具包 (2) 1.2安装步骤 (2) 2.安全扫描 (2) 2.1前提条件 (2) 2.2扫描设置 (2)

1.工具安装 1.1工具包 在服务器上拷贝最近的压缩包,到本地进行解压,压缩包中包含内容如下: 1.2安装步骤 1、先安装AppScan8.0_Setup.exe,再次安装8.0.0.3-AppScan_Setup.exe 2、拷贝patch.exe、Keygen.exe到Appscan 安装目录如:C:\Program Files\IBM\Rational AppScan 3、双击运行patch.exe 4、双击运行Keygen.exe,生成license.lic 5、拷贝生成的license.lic到Appscan目录下的license文件夹中,如:C:\Program Files\IBM\Rational AppScan\License 6、在开始-运行点击IBM Rational Appscan 8.0 启动安全扫描工具 2.安全扫描 2.1前提条件 扫描的软件是B/S结构,验证码去掉或者已经写死。扫描一般分为前后台扫描,开发提供安全扫描的地址URL,用户名和密码。 2.2扫描设置 1、打开工具,点击【创建新的扫描】-【常规扫描】-【下一步】 2、输入要扫描的URL地址,如图:

3、点击【下一步】,在弹出框中点击【记录】 4、在弹出的扫描界面输入用户名、密码、验证码,点击登录,登录成功点击退出 5、点击【完全扫描配置】弹出“扫描配置”界面,在【登录管理】中点击“详细信息”如图: 6、在“登录序列”中选中“会话中”点击右键,修改为:忽略 7、点击【环境定义】选择:web服务器、应用程序服务器、数据库类型、第三方组件(由当前系统环境结构进行选择),其他参数项参照如下如:

Appscan使用之扫描结果分析 -

本文将介绍针对扫描结果的分析,也是一次完整的渗透测试必须经历的环节。 扫描开始的时候,AppScan会询问是否保存扫描结果,同时下方有进度条显示扫描的进度。 在扫描过程中,如果遇到任何连接问题或者其他任何问题,可以暂停扫描并在稍后继续进行。如之前讲的扫描包括两个阶段-探索、测试。AppScan中的Scan Expert和HP WebInspect中的建议选项卡类似。Scan Expert分析扫描的配置,然后针对变化给出配置建议,目的是为了更好的执行一次扫描,可以选择忽略或者执行这些建议。AppScan的窗口大概分三个模块。Application Links(应用链接),Security Issues(安全问题),and Analysis(分析)如下图所示:

Application Links Pane(应用程序结构) 这一块主要显示网站的层次结构,基于URL和基于内容形式的文件夹和文件等都会在这里显示,在旁边的括号里显示的数字代表存在的漏洞或者安全问题。通过右键单击文件夹或者URL可以选择是否忽略扫描此节点。Dashboard窗格会根据漏洞严重程序,高中低列出网站存在的问题情况,一次Dashboard将反映一个应用程序的整体实力。Security Issues Pane(安全问题) 这个窗格主要显示应用程序中存在的漏洞的详细信息。针对每一个漏洞,列出了具体的参数。通过展开树形结构可以看到一个特定漏洞的具体情况,如下所示: 根据扫描的配置,AppScan会针对各种诸如SQL注入的关键问题,以及像邮件地址模式发现等低危害的漏洞进行扫描并标识出来,因为扫

描策略选择了默认,AppScan会展示出各种问题的扫描情况。右键单击某个特定的漏洞可以改变漏洞的严重等级为非脆弱,甚至可以删除。Analysis Pane(分析) 选择Security Issues窗格中的一个特定漏洞或者安全问题,会在Analysis窗格中看到针对此漏洞或者安全问题的四个方面:Issue information(问题信息),Advisory(咨询)、Fix Recommendation(修复建议), Request/Response(请求/相应). Issue information(安全问题信息) Issue information 标签下给出了选定的漏洞的详细信息,显示具体的URL和与之相关的安全风险。通过这个可以让安全分析师需要做什么,以及确认它是一个有效的发现。 Advisory(咨询) 在此选项卡,你可以找到问题的技术说明,受影响的产品,以及参考链接。 Fix Recommendation(修复建议) 本节中会提到解决一个特定问题所需要的步骤. Request/Response(请求/响应) 此标签显示发送给应用程序测试相关反应的具体请求的细节.在一个单一的测试过程中,根 据安全问题的严重性会不止发送一个请求.例如,检查SQL盲注漏洞,首先AppScan中发 送一个正常的请求,并记录响应。然后发送一个SQL注入参数,然后再记录响应.同时发送 另外一个请求,来判断条件,根据回显的不同,判断是否存在脆弱性漏洞。在此选项卡,有 以下一些标签.如图: Show in Browser(在浏览器显示),让你在浏览器看到相关请求的反应,比如在浏览器查看跨

十个权威web安全扫描工具

十大web安全扫描工具 扫描程序可以在帮助造我们造就安全的Web站点上助一臂之力,也就是说在黑客“黑”你之前,先测试一下自己系统中的漏洞。 我们在此推荐10大Web漏洞扫描程序,供您参考。 1.Nikto 这是一个开源的Web服务器扫描程序,它可以对Web服务器的多种项目(包括3500个潜在的危险文件/CGI,以及超过900个服务器版本,还有250多个服务器上的版本特定问题)进行全面的测试。其扫描项目和插件经常更新并且可以自动更新(如果需要的话)。 Nikto可以在尽可能短的周期内测试你的Web服务器,这在其日志文件中相当明显。不过,如果你想试验一下(或者测试你的IDS系统),它也可以支持LibWhisker的反IDS方法。 不过,并非每一次检查都可以找出一个安全问题,虽然多数情况下是这样的。有一些项目是仅提供信息(“info only”)类型的检查,这种检查可以查找一些并不存在安全漏洞的项目,不过Web管理员或安全工程师们并不知道。这些项目通常都可以恰当地标记出来。为我们省去不少麻烦。 2. Paros proxy 这是一个对Web应用程序的漏洞进行评估的代理程序,即一个基于Java的web代理程序,可以评估Web应用程序的漏洞。它支持动态地编辑/查看HTTP/HTTPS,从而改变cookies 和表单字段等项目。它包括一个Web通信记录程序,Web圈套程序(spider),hash 计算器,还有一个可以测试常见的Web应用程序攻击(如SQL注入式攻击和跨站脚本攻击)的扫描器。 3.WebScarab 它可以分析使用HTTP 和HTTPS协议进行通信的应用程序,WebScarab可以用最简单地形式记录它观察的会话,并允许操作人员以各种方式观查会话。如果你需要观察一个基于HTTP(S)应用程序的运行状态,那么WebScarabi就可以满足你这种需要。不管是帮助开发人员调试其它方面的难题,还是允许安全专业人员识别漏洞,它都是一款不错的工具。 4.WebInspect 这是一款强大的Web应用程序扫描程序。SPI Dynamics的这款应用程序安全评估工具有助于确认Web应用中已知的和未知的漏洞。它还可以检查一个Web服务器是否正确配置,并会尝试一些常见的Web攻击,如参数注入、跨站脚本、目录遍历攻击(directory traversal)等等。 5.Whisker/libwhisker Libwhisker是一个Perla模块,适合于HTTP测试。它可以针对许多已知的安全漏洞,测试HTTP服务器,特别是检测危险CGI的存在。Whisker是一个使用libwhisker的扫描程序。 6.Burpsuite 这是一个可以用于攻击Web应用程序的集成平台。Burp套件允许一个攻击者将人工的和自动的技术结合起来,以列举、分析、攻击Web应用程序,或利用这些程序的漏洞。各种各样的burp工具协同工作,共享信息,并允许将一种工具发现的漏洞形成另外一种工具的基础。

十大Web安全扫描工具

扫描程序可以在帮助造我们造就安全的Web站点上助一臂之力,也就是说在黑客“黑”你之前,先测试一下自己系统中的漏洞。我们在此推荐10大Web漏洞扫描程序,供您参考。 1. Nikto 这是一个开源的Web服务器扫描程序,它可以对Web服务器的多种项目(包括3500个潜在的危险文件/CGI,以及超过900个服务器版本,还有250多个服务器上的版本特定问题)进行全面的测试。其扫描项目和插件经常更新并且可以自动更新(如果需要的话)。 Nikto可以在尽可能短的周期内测试你的Web服务器,这在其日志文件中相当明显。不过,如果你想试验一下(或者测试你的IDS系统),它也可以支持LibWhisker的反IDS方法。 不过,并非每一次检查都可以找出一个安全问题,虽然多数情况下是这样的。有一些项目是仅提供信息(“info only” )类型的检查,这种检查可以查找一些并不存在安全漏洞的项目,不过Web管理员或安全工程师们并不知道。这些项目通常都可以恰当地标记出来。为我们省去不少麻烦。 2. Paros proxy 这是一个对Web应用程序的漏洞进行评估的代理程序,即一个基于Java的web代理程序,可以评估Web应用程序的漏洞。它支持动态地编辑/查看HTTP/HTTPS,从而改变cookies 和表单字段等项目。它包括一个Web通信记录程序,Web圈套程序(spider),hash 计算器,还有一个可以测试常见的Web应用程序攻击(如SQL注入式攻击和跨站脚本攻击)的扫描器。 3. WebScarab 它可以分析使用HTTP 和HTTPS协议进行通信的应用程序,WebScarab可以用最简单地形式记录它观察的会话,并允许操作人员以各种方式观查会话。如果你需要观察一个基于HTTP(S)应用程序的运行状态,那么WebScarabi就可以满足你这种需要。不管是帮助开发人员调试其它方面的难题,还是允许安全专业人员识别漏洞,它都是一款不错的工具。 4. WebInspect 这是一款强大的Web应用程序扫描程序。SPI Dynamics的这款应用程序安全评估工具有助于确认Web应用中已知的和未知的漏洞。它还可以检查一个Web服务器是否正确配置,并会尝试一些常见的Web攻击,如参数注入、跨站脚本、目录遍历攻击(directory traversal)等等。 5. Whisker/libwhisker Libwhisker是一个Perla模块,适合于HTTP测试。它可以针对许多已知的安全漏洞,测试HTTP服务器,特别是检测危险CGI的存在。Whisker是一个使用libwhisker的扫描程序。 6. Burpsuite 这是一个可以用于攻击Web应用程序的集成平台。Burp套件允许一个攻击者将人工的和自

使用APPSCAN进行安全性检测总结

使用Appscan保障Web应用安全性 编写:梁建增 https://www.doczj.com/doc/3c17229589.html,

Appscan简介 IBM Rational AppScan Standard Edition 是一种自动化Web 应用程序安全性测试引擎,能够连续、自动地审查Web 应用程序、测试安全性问题,并生成包含修订建议的行动报告,简化补救过程。 IBM Rational AppScan Standard Edition 提供: 核心漏洞支持:包含W ASC 隐患分类中已识别的漏洞——如SQL 注入、跨站点脚本攻击和缓冲区溢出。 广泛的应用程序覆盖:包含集成Web 服务扫描和JavaScript 执行(包括Ajax)与解析。 自定义和可扩展功能:AppScan eXtension Framework 运行用户社区共享和构建开源插件。 高级补救建议:展示全面的任务清单,用于修订扫描过程中揭示的问题。 面向渗透测试人员的自动化功能:高级测试实用工具和Pyscan 框架作为手动测试的补充,提供更强大的力量和更高的效率。 法规遵从性报告:40 种开箱即用的遵从性报告,包括PCI Data Security Standard、ISO 17799 和ISO 27001 以及Basel II。

1.信息系统安全性概述 在进行软件安全性检测之前,首先我们应该具备一定的信息系统安全性的知识,在我们对整体范围的信息系统安全性保障有一定认识的前提下,才能决定我们能更好的保障该环境下的软件应用安全性。 计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。从而我们可以得知计算机信息系统的安全性是一个相当复杂且广的课题,通常情况下,计算机信息系统都是以应用性为主题,以实现不同用户群的相应需求实现。而应用性的实现通常是采用应用软件而达成。典型的计算机信息系统,包括了机房环境,主机设备,网络交换设备,传输通信媒介,软件系统以及其他相关硬软件,而由于当前信息系统网络的连通性,给安全性问题带来了更大的挑战。 在当今的时代,Internet(因特网)已经成为一个非常重要的基础平台,很多企业都将应用架设在该平台上,为客户提供更为方便、快捷的服务支持。这些应用在功能和性能上,都在不断的完善和提高,然而在非常重要的安全性上,却没有得到足够的重视。由于网络技术日趋成熟,黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对Web 应用的攻击上。根据Gartner 的最新调查,信息安全攻击有75% 都是发生在Web 应用而非网络层面上。同时,数据也显示,三分之二的Web 站点都相当脆弱,易受攻击。然而现实确是,绝大多数企业将大量的投资花费在网络和服务器的安全上,没有从真正意义上保证Web 应用本身的安全,给黑客以可乘之机。

相关主题
相关文档 最新文档