针对大型网站的扫描,我们按照戴明环 PDCA 的方法论来进行规划和讨论,建议 AppScan 使用步骤:计划(Plan)、执行(Do)、检查(check)、分析(Analysis and Action)。
1.在计划阶段:明确目的,进行策略性的选择和任务分解。
明确目的:选择合适的扫描策略
了解对象:首先进行探索,了解网站结构和规模
确定策略:进行对应的配置
按照目录进行扫描任务的分解
按照扫描策略进行扫描任务的分解
2.执行阶段:一边扫描一遍观察
进行扫描
先爬后扫(继续仅测试)
3.检查阶段(Check)
检查和调整配置
4.结果分析(Analysis)
对比结果
汇总结果(整合和过滤)
下面我们针对每个阶段,进行具体的阐述。
准备阶段
AppScan 安装环境要求和检查
为了保证更好的扫描效果,安装 AppScan 的硬件建议配置如下:
Rational AppScan 安装配置要求
硬件最低需求
处理器Pentium P4,2.4 GHz
内存2 GB RAM
磁盘空间30 GB
网络1 NIC 100 Mbps(具有已配置的 TCP/IP 的网络通信)
其中,处理器和内存建议越大越好,而磁盘空间,建议系统盘(一般是 C 盘)磁盘空间至少保留 10G,如果系统盘磁盘空间比较少,可以考虑把用户文件等保存在其他盘;如默认的用户文件是:C:\Documents and Settings\Administrator\My Documents\AppScan;可以修改为其他路径。该路径可以在菜单栏中依次选择工具 - 选项 - 一般 - 文件位置部分修改。
图 1. 设置文件保存路径
磁盘要求:修改临时文件路径
有时候大家会发现,已经把上面的地址都修改到了其他盘,但是在扫描过程中,还是会发现 C 盘的空间快速被消耗,分析原因,是因为很多临时文件都保存在 C 盘,AppScan 中有一个隐藏的参数 APPSCAN_TEMP 来设置临时文件位置。在扫描过程中,如果系统盘空间比较下,可以通过修改系统变量来修改到其他硬盘空间。
临时文件位置说明:描述正常操作期间 AppScan 将其临时文件保存到的位置。缺省情况下,AppScan 将其临时文件存储在以下位置:
C:\Documents and Settings\All Users\Application Data\IBM\Rational AppScan\temp
如果需要修改此缺省位置,请按照要求编辑环境变量 APPSCAN_TEMP 的路径。(访问环境变量的方法是,右键单击我的电脑,然后依次选择属性 > 高级 > 环境变量。)
注意:在新位置的路径中绝不能有任何 Unicode 字符。
修改 AppScan 中的临时文件:
1.桌面上鼠标右键选择“我的电脑”,选择“属性”
2.选择“高级”,“环境变量”
3.增加一个新的“用户环境变量”,名字是“APPSCAN_TEMP”,设定路径,指向您希望保存临时文件的目录。
计划阶段
在计划阶段,首先明确几个问题:
1.关心哪些类型的安全问题,根据这些安全问题来设置扫描规则。
2.要扫描的网站地址,网站的业务特点。
扫描策略的选择
试想,我们现在要扫描的是某个移动公司的网站系统,该网站系统提供多个内容频道,还可以连接到多个其他移动公司网站和业务网站,我们本次安全测试重点关心的是门户网站本身和其上面的网上营业厅业务。这就是一个比较明确的测试目标对象。
然后,确定扫描策略,我们主要关心该网站是否存在跨站点脚本执行和 SQL 注入的问题,则在扫描规则中,我们就可以选择这两种类型的规则,其他规则都排除。
具体的扫描规则定制,可以在扫描配置 - 测试 - 测试策略中选择:
在测试策略中,有多种不同的分组模式,最经常使用的是“严重性”,“类型”,“侵入式”、“WASC 威胁分类”等标准,根据不同分组选择的扫描策略,最后组成一个共同的策略集合。
根据我们这次扫描的目标,关心的是跨站点脚本执行和 SQL 注入的问题,而且不考虑“基础结构”级别的安全问题。则就可以首先选择一个默认的扫描策略,然后全部置空,再选择
跨站点脚本执行和 SQL 注入,最后再去除这两种扫描策略中和基础结果相关的安全问题。
方法如下:
1.选择缺省的扫描策略,或者把当前的扫描策略,切换到按照“类型”分类,取消掉“基础结构”和“应用程序”两种类型。
2.说明:则把扫描策略置空,没有选择任何的扫描策略,指所有分布类型选择“类型”分类,是因为类型分类里面含有的类型,只有两种类型,可以快速全部都取消掉。
3.分组类型,切换到“WASC 威胁分类”,选择“SQL 注入”和“跨站点脚本编制”。
4.分组类型,切换到“类型”,发现这时候“基础结构”和“应用程序”两种类型的扫描策略都是选择上的模式,而且是虚线,说明这两种类型下均有部分扫描策略被选择了。
我们不关心“基础结构”级别的安全问题,所以在这里取消“基础结构”。
图 2. 按“类型”分类的测试策略
5.分组类型,切换到“侵入式”类型,下面有“非侵入式”和“侵入式”两种分类。取消“基础结构”级别的测试。
侵入式的测试用例,往往因为有比较强的副作用,可能对系统造成伤害,所以一般扫描生产系统的时候,很少选择。我们可以查看一个 SQL 注入类型的侵入式安全问题,在“输入以查找”输入框中输入“SQL”,然后回车查询。可以看到测试变体的描述“将参数值设置为 Declare/Case SQL 注入攻击(尝试关闭 DB 服务器)”,则扫描过程中,会使用该测试用例去执行尝试关闭数据库的命令,如果该测试用例执行通过,则就关闭了数据库,则整个系统就瘫痪!所以,要很慎重的选择“侵入式的测试用例”。
图 3. 查询测试策略
图 3 大图
其他的在“类型”中,“应用程序”类型表示该问题的存在是因为应用程序不严谨,代码存在安全问题而造成的,修改方法就是修改原代码;而“基础结构”类型,则表示该问题是配置问题,建议修改系统配置或者安装最新的补丁(经常是中间件或数据库补丁)。
了解被测试网站
在对网站进行测试之前,我们经常需要先大概了解下这个网站,比如该网站使用了哪些技术,提供什么类型的业务(功能),网站规模等。这些都和我们的扫描设置相关。如下图,就是我们经常使用的一个调查表,了解被测试系统的基本特点。
表 2. 记录被测网站特点
应用系统名称访问地址应用系统架构(JEE/.Net/PHP…)URL 数量登陆方式备注
其中,用户经常迷惑的是 URL 数量,有些时候,用户很难评估出一个系统的大概页面数量,而按照 AppScan 的工作原理,扫描是针对页面的每个参数的,如果页面越多,参数越多,则扫描要运行的时间也就越长,扫描保存成的接过文件也是越大,更需要进行分解。如果一个扫描任务,本身的已访问 URL 数超过 5000,评估的要运行的安全测试用例数超过 50,000,则建议进行扫描配置的分析,并根据分析结果,决定是否需要进一步的任务分解和分工。
那么,如果可以了解到网站具体有哪些页面呢?这里我们就可以利用 AppScan 的探索(页面爬行)能力。
在扫描配置里面设置了主 URL 以后,工作菜单中中依次选择扫描 - 仅探索。对网站进行探索。一般会让探索工具运行 10 到 30 分钟,看该网站具体存在哪些页面,哪些参数等。这个就可以切换到“应用程序数据”视图来查看。
我们一般关心这几个视图:
已访问的 URL():AppScan 已经探索到并且进行了分析的页面
已过滤掉的 URL():AppScan 已经发现,同时根据扫描配置,认为不需要进行安全扫描的页面。
中断链接 URL():AppScan 发现了,但是无法访问到或者访问出错的页面,如 404 页面不存在,或者500 服务器错误等。
伪静态页面
可以选择左边“我的应用程序数据”中的 URL 树下的每一个节点,察看该节点已访问的 URL,已过滤掉的 URL 等。
如在已访问的 URL() 中,我们发现大量类似如下结构的 HTML 页面:
https://www.doczj.com/doc/4b10550378.html,//focus/satisfy/file5.html https://www.doczj.com/doc/4b10550378.html,//focus/satisfy/file6.html https://www.doczj.com/doc/4b10550378.html,/m-zone/news/dgdd/quanbu/bylb/file5.html
其共同特征,都是以 html 为后缀名,最后的文件名格式都是 file+ 数字格式;这种类型的页面经常存在新闻,论坛等。如果访问这些页面,发现页面结构相同,差异的都是里面的文本内容,如提供不同的新闻内容等,这些页面就是所谓的“伪静态页面”,其实是网站发布系统动态产生的,由于结果相似,在安全扫描中,没有必要针对这些页面每次都进行扫描。如针对每个目录下面存在的 file+ 数字格式的页面,我们就可以设置正则表达式来过滤,比如,在扫描配置 - 排除路径和文件中
排除所有该类型的页面;.*file\d+.html
增加“例外”,对该类型的页面只扫描 file1.html 和 file20.html
经常存在的其他类似页面,还有 news1.html、content200.html 等类型,采用方法类似。
业务类型的“冗余路径”
和“伪静态页面”对应的有另外一种动态页面,这些页面按照默认的扫描规则,会被自动过滤,但是根据真实的业务场景,这些页面确实不能被过滤的,如访问 https://www.doczj.com/doc/4b10550378.html, 时候在“已过滤URL”内会显示有如下的 URL 地址,过滤原因都是“路径限制”:
https://www.doczj.com/doc/4b10550378.html,/default.aspx?content=inside_community.htm
https://www.doczj.com/doc/4b10550378.html,/default.aspx?content=inside_press.htm
https://www.doczj.com/doc/4b10550378.html,/default.aspx?content=inside_executives.htm
选择 URL 地址,鼠标右键“在浏览器中显示”,会发现这里显示的页面内容完全不一样,和上面的“伪静态页面”正好相反,这些参数相同,参数值不同的动态页面,是真正的业务页面,是不能过滤掉;如果过滤,则会很多后续的业务页面无法发现。那这些页面为什么会被过滤了呢?按照什么样的规则被过滤掉的?
在 AppScan 中,默认情况下是有一个“冗余路径限制”(在“扫描配置 - 探索选型 - 冗余路径限制”),默认对于冗余的页面,最多扫描 5 次,关键的问题是,什么页面被被 Appscan 认为是冗余页面呢 ?
图 4. 冗余路径设置
简单说:
https://www.doczj.com/doc/4b10550378.html,/default.aspx?content=inside_community.htm
https://www.doczj.com/doc/4b10550378.html,/default.aspx?content=inside_press.htm
Appscan 是根据“?”号来分隔的,如果 ? 号前面的内容都相同,则就被认为是冗余页面,所以上面的页面就是冗余页面了。
遇到这样情况的页面,最多被访问 5 次。而这 5 次,具体是使用了哪些参数,是随机的,具体访问到的页面也会在“应用程序数据”视图的“已访问的URL”中查看:
https://www.doczj.com/doc/4b10550378.html,/default.aspx?content=business.htm
https://www.doczj.com/doc/4b10550378.html,/default.aspx?content=business_lending.htm
https://www.doczj.com/doc/4b10550378.html,/default.aspx?content=inside_contact.htm
可是,在本例中 content 参数值不同的时候,其实根据业务逻辑,不应该算作“冗余页面的”,而按照配置,也会被自动过滤了,遇到这种情况,就需要考虑增加“冗余路径限制”,如设置为 20 或者 50。以可以更多次访问这些页面。
这些情况经常存在于跳转参数等情况。
顺便备注下,“冗余路径限制”,功能设置的目的是为了处理类似论坛 BBS 等页面,只有文本内容不同,页面架构完全相同的页面:如
https://www.doczj.com/doc/4b10550378.html,/showthread.php?id=1 https://www.doczj.com/doc/4b10550378.html,/showthread.php?id=2
https://www.doczj.com/doc/4b10550378.html,/showthread.php?id=3
而我们在测试 https://www.doczj.com/doc/4b10550378.html, 时候会发现每次的安全测试结果都可能有差别,一个很大的原因就是每次访问的页面是不同的,就是这个设置的影响。
分析重复的“脚本参数”
在上面的步骤中,分析了“伪静态页面”,对其应该通过“排除路径或者文件名”的方法设置排除规则;而对于“业务类型的冗余路径”,则需要通过增加“冗余路径显示”个数等的方法进行扩充,以扫描到这些 URL。我们在这个步骤来分析另外一种参数,脚本参数。
在“我的应用程序数据”树状结构下,鼠标选择目录以后,在右边视图中选择“脚本参数”,然后查看是否存在不同页面(URL) 存在相同或者类似参数的情况:如下图,在不同 URL 中,都存在 kbKey 参数,默认的参数值是“请输入您要搜索的问题”:
图 5. 脚本参数
图 5 大图
访问这些 URL,发现每个页面内都包含了一个搜索功能,这就是为什么在不同页面都发现了该参数。而从业务角度,这些搜索页面在一个 URL 中进行测试以后,没有必要在另外一个页面也进行测试。而且该参数值的变化,可以认为是冗余页面,没有必要进行下一步的重新探索和测试。这可以通过上图中,选择该参数后,鼠标右键,选择“添加到‘参数和Cookie’选项卡中的列表”来实现。选择后弹出下面的页面:
图表 6 添加参数定义(根据参数来设置冗余路径)
图 6 大图
在该页面中,点击“其他选项-冗余调整”,取消选择任何一个选择框,则表示无论是否含有该参数,无论该参数值是否发生变化,都不认为是新页面,没有必要重新测试,而且不应该因为该参数的变化去影响其他参数的测试。
我们知道,AppScan 中的测试,是针对页面的每个参数进行的,而且一个参数值的变化会要求重新测试其他的参数,所以该设置,可以大大减少测试用例数。
关于更多的设置说明,可以参照下面的解释:
表 3. 设置说明
查看每个目录页面个数
如果一个扫描任务,本身的已访问 URL 数超过 5000,评估的要运行的安全测试用例数超过 20,000,则建议进行扫描配置的分析,并根据分析结果,决定是否需要进一步的任务分解和分工。
我们在“我的应用程序数据”树状结构下,鼠标选择目录以后,在右边视图中选择“已访问的URL()”,记录URL 数目,如果该目录 URL 数目比较大(超过 500)则可以考虑为该目录单独建立一个扫描任务,只扫描该目录下面的链接。
执行阶段
根据在“计划阶段”确定的扫描策略,和进行的扫描设置,重新进行探索(扫描菜单依次选择:重新扫描 - 重新探索);后继续分析页面数和测试用例数目,如果控制页面数 5000 个以内,测试用例数 20,000 个以内,则可以直接进行扫描;如果没有,建议继续分析,优化扫描配置。
分阶段测试
AppScan 的扫描过程分为“探索”和“测试”两个阶段,默认情况下,使用的是完全扫描模式,即是边探索边
测试的。如果网站比较大,建议考虑先探索后测试的模式。
如当 URL 达到 5000,需要进行的测试达到 50000 的时候,可以暂停扫描,手工停止探索,选择“继续仅测试”。对已经发现和分析的页面进行测试,测试完毕,再来选择“继续仅探索”,即:
继续仅探索 --- 继续仅测试—继续仅探索 - 仅测试的一个循环过程。
在这个过程,一个阶段结束以后,建议查看下 .Scan 文件的大小,如果大小超过了 500M,则建议考虑任务分解,可以根据目录把一个扫描任务分解为多个,或者根据扫描策略来进行分解。
该方法是利用了 AppScan 扫描过程中,探索测试可以分离,而且支持扫描过程中断后继续扫描的特性。
按照业务分解扫描任务
在实际工作中,我们扫描的一个大型网站,往往包含多个频道,而每个频道可能需要的扫描配置都不同,这些配置甚至互相冲突。如一个网站的提供了 BBS 论坛功能:
https://www.doczj.com/doc/4b10550378.html,/https://www.doczj.com/doc/4b10550378.html,/showthread?channel=1&thread=1001
https://www.doczj.com/doc/4b10550378.html,/https://www.doczj.com/doc/4b10550378.html,/showthread?channel=30&thread=2001
对于这样的页面,访问后发现页面结构相同,只是文本内容不同,则应该使用“冗余路径限制”参数,控制扫描次数,没有必要多次扫描。
同时,该网站的一个服务频道存在如下的页面:
https://www.doczj.com/doc/4b10550378.html,/default.aspx?content=inside_executives.htm
https://www.doczj.com/doc/4b10550378.html,/default.aspx?content=privacy.htm
即上面提到的业务类型的“冗余路径”,应该多次扫描,配置上要求增大“冗余路径限制”参数。
在这种情况下,就很有必要根据业务分别建立扫描任务,每个任务采用不同的扫描配置。
检查阶段
在扫描执行过程中,需要检查,看是否存在下面的情况:
1.提示网络连接不上,或者提示部分页面无法打开。则检查是否是扫描速度过快,服务器不能承受不了,根据情况修改扫描配置 - 连接 - 通信和代理,增加“超时”数,并考虑减少“并发线程数”,以允许更长时间的等待页面影响并减少对服务器的访问连接数。
2.发现扫描出的安全问题,包含我们不关心的安全隐患,则取消掉这些规则。如发现了一个安全隐患,类型是“SQL 注入文件写入(需要用户验证)”,该问题是需要用户根据提示来检查的,并且是针对 SQL 数据库的,如果我们使用的数据库不是 SQL 数据库,或用户确认后没有发现线索,则就可以在扫描配置 - 测试 - 测试策略中取消选择该策略。
3.执行“计划阶段”的检查,看是否还存在“伪静态页面”,“业务类型的冗余路径”等,如果存在,则调整扫描配置。
分析阶段
在分析阶段,结合业务特点,检查是否扫描范围,分析扫描结果,并针对扫描出来的问题,进行分析,产生多
种类型的报告等。
扫描结果检查
扫描结束后,建议切换到“应用程序数据”视图中,对页面进行分析,检查是否核心页面都被测试到了。重点检查如下部分:
1.交互式 URL:一些页面,必须输入正确的信息,才可以跳转到下一个页面,比如查询手机欠费的页面,必须输入正确的 11 位手机号码;查询身份信息的页面,必须输入 18 位的身份证号才可以进入后续页面。如果没有配置,AppScan 怎么知道输入这些信息?所以如果存在“交互式”URL,可以选择该 URL 以后,鼠标右键,选择手动探索,在 AppScan 浏览器中访问这些页面,输入对应的数据,则 AppScan 会自动记录这些输入,并填充到扫描配置 - 自动表单填充中。
2.中断链接:看哪些页面在扫描过程中,访问出错或者无法访问,如针对 time out 的页面,就可能是因为网络原因,扫描过程中没有及时响应,可以选择“重试所有中断链接”重新进行访问。
报告分析
我们需要对报告进行对比分析或者报告汇总合并,方法如下:
1.增量分析:在实际工作中,经常对一个网站进行定期扫描,那么我们可以使用报告对比功能,对比两次产生的结果,检查哪些问题已经修改,哪些是新发现的安全隐患。方法是选择报告 - 增量分析。
2.报告汇总和合并:而如果我们在执行阶段,按照业务或者目录进行了分解,最后可能需要对多份扫描结果进行合并和汇总,合并过程中重复的问题只记录一次,如扫描任务 A 和任务 B 都发现了 apply.jsp 的 ID 参数存在 XSS 安全隐患,则合并后只记录一次。报告的合并需要使用到 AppScan 企业版,其具有 AppScan 标准版的扫描功能和强大的报告汇总功能,可以产生仪表盘,报告的对比分析,趋势分析等。可以把 AppScan 标准版的报告发布到 AppScan 企业版中,方法是菜单栏中依次选择文件 - 导出 - 将结果发布到 AppScan Enterprise。
图 7. AppScan 标准版的扫描结果发布到企业版
案例分析
工作中遇到一个案例,使用 AppScan 扫描扫描了 3*24 小时,扫描的 scan 文件已经达到 9G;扫描还在持续进行中,总体进度完成了 30%,可以想象扫描速度已经很缓慢,还需要多长时间才可以完成扫描?扫描完成以后如此大的结果文件是否可以成功打开和修改保存 ?
按照我的经验,如果扫描结果文件大于 1G,那就很有必要立即停止扫描,进行配置分析。我们的分析过程如下: 1.和用户讨论,确认关心的安全问题,根据这些安全问题制定测试策略;讨论后确定选择“SQL 注入”和“跨站点脚本编制”两种类型的安全隐患。
2.确定网站范围,被扫描应用是典型运营商门户网站,重点要扫描门户网站自身和其上面提供的“网上营业厅”服务。
3.分析被测网站,使用 AppScan 配置了网站主页面,然后选择“仅探索”运行 20 分钟后,发现 30,000 多个页面。停止探索,开始分析页面。
4.分析发现该网站同一个链接,存在 http、https 访问的不同情况,而且两种访问方式访问到的页面内容相同,则过滤掉 https 的请求,集中测试 http 请求。
5.分析发现存在大量的“伪静态页面”,如:
https://www.doczj.com/doc/4b10550378.html,//focus/satisfy/file5.html
https://www.doczj.com/doc/4b10550378.html,//focus/satisfy/file6.html
在扫描配置 - 排除路径和文件中:
排除所有该类型的页面;.*file\d+.html
增加“例外”,对该类型的页面只扫描 file1.html 和 file20.html
6.同时,发现了 swf 文件,应该不准备扫描 Flash,所以在“排除文件类型”中,设置根据后缀名排除 swf 文件。
7.发现
https://www.doczj.com/doc/4b10550378.html,/service
目录下存在大量如下类型的页面,都是 menu 参数值不同,访问以后发现出现的是页面中有不同的超链接:https://www.doczj.com/doc/4b10550378.html,/service/Business.do?menu=Query
https://www.doczj.com/doc/4b10550378.html,/service/Business.do?menu=Open
https://www.doczj.com/doc/4b10550378.html,/service/Business.do?menu=Service
确认该页面是业务类型的“冗余路径”,应该全面扫描,则需要把“冗余路径设置”调整为比较大的参数,同时该频道是网上营业厅频道,也要求用户先登录。所以针对该目录建立一个单独的扫描任务,只扫描该目录和其下子目录。
8.分析发现 index.jsp 在多个目录下出现,而且每次出现都有两种格式,即没有参数和有固定的三个参数,每次的参数值都相同。如:
https://www.doczj.com/doc/4b10550378.html,//rdwd/jfmz/jifen/index.html
https://www.doczj.com/doc/4b10550378.html,//rdwd/jfmz/jifen/index.html?queryType=common&applyArea=010 &kbKey= 请输入您要搜索的问题 https://www.doczj.com/doc/4b10550378.html,//rdwd/txl/rdwdznyd/index.html
https://www.doczj.com/doc/4b10550378.html,//rdwd/txl/rdwdznyd/index.html?queryType=common&applyArea=010 &kbKey= 请输入您要搜索的问题
访问上面的页面,发现内容相同,则说明是否带这三个参数不会影响探索发现更多的页面,则可以设置这三个参数每次是否出现,是否有不同值都可以认为是同一个页面。
设置方法:扫描配置中依次选择“参数和Cookie”来实现。然后增加 queryType,applyArea,kbKey 三个参数,均设置为“是否有参数”、“参数是否变化”不影响测试的模式。
9.切换到“应用程序视图”,分析“中断链接”,发现一些页面存在“范围内容超过最大容量的”的情况,在 IE 浏览器中直接访问,发现这些页面存在死循环,页面内容无限递增。则在扫描配置 - 排除路径和文件中排除这些页面。
10.根据以上设置,建立了两个扫描任务,均扫描“SQL 注入”和“跨站点脚本编制”。重新探索后,页面总数减少到 4000 多,测试用例数减少到接近 50,000,两个扫描任务均在 8 个小时内完成。
总结
AppScan 作为一种自动化的扫描设置工具,我们了解其工作原理后,需要根据被测系统的业务特点和网站结构特点,优化配置,从而可以快速的针对性扫描。
常用的设置是可以利用其“探索”功能,快速得到结构,然后分析是否存在“伪静态页面”,业务上的“冗余路径”页面,“参数重复”页面等,在扫描配置中对应设置。
同时,如果设置后网站规模还是比较大,则可以根据业务分解为多个扫描任务,从而分而攻之,快速扫描,并结合企业版等工具,综合汇总分析。
1.appscan是一个web应用安全测试工具。 2.web攻击的类型比如: ●跨站脚本攻击:为了搜集用户信息,攻击者通常会在有漏洞的程序中插 入 JavaScript、VBScript、 ActiveX或Flash以欺骗用户,达到盗取用 户帐户,修改用户设置,盗取/污染cookie,做虚假广告等目的。如注入 一个JavaScript弹出式的警告框:alert(1) ●消息泄露:web应用程序在处理用户错误请求时,程序在抛出异常的时候 给出了比较详细的内部错误信息,而暴露了不应该显示的执行细节,如 文件路径、数据库信息、中间件信息、ip地址等 ●SQL注入:将SQL命令人为地输入到URL、表格域、或者其他动态生成的 SQL查询语句的输入中,完成SQL攻击。以达到绕过认证、添加、删除、修改数据等目的。如sql查询代码为: strSQL = "SELECT * FROM users WHERE (name = '"+ us erName + "') and (pw = '"+ passWord+"');" 改为: strSQL = "SELECT * FROM users WHERE (name = '1' OR '1'='1') and (pw = '1' OR '1'='1');" 达到无账号密码,亦可登录网站。 3.appscan使用步骤:总的来说,就是指定要扫描的URL-选择测试策略-执行 扫描探索-执行测试-结果分析。 1)选择测试策略,文件-新建-选择一个模板“常规扫描”
2)出现扫描配置向导页面,这里是选择“AppScan(自动或手动)“,如图: 3)输入扫描项目目标URL,如果只想扫描指定URL目录下链接的话把“仅扫 描此目录中或目录下的链接”勾选上。 4)点击”下一步“,选择认证模式,出现登录管理的页面,这是因为对于 大部分网站,需要用户名和密码登录进去才可以查看许多内容,未登录的情况下就只可以访问部分页面。这里我选择的第一个,需要点击右边的记录进入浏览器手动登录,让它记录下这个登录信息。
IBM Appscan常见问题及解决方案 最近为了网站的安全测试,接触了IBM提供的一款工具--Appscan,可是好不容安装好后,在运行过程中问题也不断冒出,查询了一些资料,将遇到的问题及解决的方案记录如下: 1、"AppScan虚拟内存不足"错误从而停止工作 问题: 一旦达到内存限制,IBM Rational AppScan将会停止工作并显示错误消息:"AppScan内存需求已超过预定义的限制"。 症状: IBM Rational AppScan因为内存使用量增加从而停止扫描。如果强制选择继续扫描的话,Rational AppScan可能会发生崩溃并丢失所有的工作数据。 原因: 产品使用超出限度的内存量。 解决方案: 为了防止Rational AppScan因为超过内存限度而停止工作,可以进行相应的设定使Rational AppScan当内存使用量相对过大时自动重新启动。这样当扫描因为剩余的虚拟内存量过低从而被迫停止时,Rational AppScan会监测系统注册表的设定来决定是否重新启动。 Rational AppScan 7.7,7.8和7.9 自Rational AppScan 7.7版本以上,在主画面中选择菜单[工具]->[选项]->[高级]页面。 ·检索PerformanceMonitor.RestartOnOutOfMemory属性并将其设定为布尔值True。 还可以使用下面的属性
·检索PerformanceMonitor\minScanTimeDurationForRestart属性并设定适当的DWORD双字节数值,该数值是指定Rational AppScan在遇到内存问题之前应当运行的分钟数。 2、IBM Appscan使用时C盘空间不足的解决办法 症状: IBM Appscan使用时C盘空间不足 原因: Appscan默认会将其temp 文件夹设置为:c:\documents and Settings\All Users\Application Data\IBM\Rational AppScan\temp 当扫描的站点信息很多时,该文件夹大小会剧增,由于C盘空间不足而导致出现“磁盘空间不足”错误而退出。 解决方案: 建立如下环境变量:APPSCAN_TEMP,将其值设置为足够空间的temp文件夹 注意: ①.支持本地磁盘 ②.路径中不能包含中文/空格/特殊字符 ③、IBM Appscan使用时每隔一小时保存一次 这个其实并不能算问题,不过在目标非常大,扫描时间非常长的时候,这个问题会极大影响扫描速度。 解决方案: 在“工具”->“选项”中设置下自动保存时间,默认时间是“60分钟”,可以根据自己需要调节。
如何使用AppScan扫描大型网站 经常有客户抱怨,说AppScan无法扫描大型的网站,或者是扫描接近完成时候无法保存,甚至保存后的结果文件下次无法打开?;同时大家又都很奇怪,作为一款业界出名的工具,如此的脆弱?是配置使用不当还是自己不太了解呢?我们今天就一起来讨论下AppScan扫描大型网站会遇到的问题以及应对。 AppScan工作原理和网站规模讨论 1)网站规模 2)AppScan的工作原理 3)扫描规模:AppScan的扫描能力收到哪些因素的影响? 好的,对AppScan工具和网站的特点有了了解以后,我们来讨论如何更有效地使用AppScan来进行安全扫描,特别是扫描大型网站? 使用AppScan来进行扫描 我们按照PDCA的方法论来进行规划和讨论;建议的AppScan使用步骤:PDCA: Plan,Do,check, Action and Analysis. 计划阶段:明确目的,进行策略性的选择和任务分解。 1)明确目的:选择合适的扫描策略 2)了解对象:首先进行探索,了解网站结构和规模 3)确定策略:进行对应的配置 a)按照目录进行扫描任务的分解 b)按照扫描策略进行扫描任务的分解 执行阶段:一边扫描一遍观察 4)进行扫描 5)先爬后扫(继续仅测试) 检查阶段(Check) 6)检查和调整配置 结果分析(Analysis) 7)对比结果 8)汇总结果(整合和过滤)
其他常见的AppScan配置: 1)扫描保存的间隔时间 2)内存使用量 3)临时文件的保存路径 4)AppScan的工作原理 AppScan其实是一个产品家族,包括众多的应用安全扫描产品,从开发阶段的源代码扫描的AppScan source edition,到针对WEB应用进行快速扫描的AppScan standard edition.以及进行安全管理和汇总整合的AppScan enterprise Edition等,我们经常说的AppScan就是指的桌面版本的AppScan,即AppScan standard edition.其安装在Windows操作系统上,可以对网站等WEB 应用进行自动化的应用安全扫描和测试。 来张AppScan的截图,用图表说话,更明确。 图表 1 AppScan标准版界面 请注意右上角,单击“扫描”下面的小三角,可以出现如下的三个选型“继续完全扫描”,“继续仅探索”,“继续仅测试“,有木有?什么意思?理解了这个地方,就理解了AppScan的工作原理,我们慢慢展开: 还没有正式开始,所以先不管“继续“,直接来讨论’完全扫描”,“仅探索”,“仅测试”三个名词: AppScan是对网站等WEB应用进行安全攻击,通过真刀真枪的攻击,来检查网站是否存在安全漏洞;既然是攻击,肯定要有明确的攻击对象吧,比如北约现在的对象就是卡扎菲上校还有他的军队。对网站来说,一个网站存在的页面,可能成千上万。每个页面也都可能存在多个字段(参数),比如一个登陆界面,至少要输入用户名和密码吧,这就是一个页面存在两个字段,你提交了用户名密码等登陆信息,网站总要有地方接受并且检查是否正确吧,这就可能存在一个新的检查页面。这里的每个页面的每个参数都可能存在安全漏洞,所有都是被攻击对象,都需要来检查。
APPSCAN扫描说明 安装Appscan之前,关闭所有打开的应用程序。点击安装文件,会出现安装向导,如果你还没有安装.Net framwork,Appscan安装过程会自动安装,并需要重新启动。按照向导的指示,可以很容易的完成安装.如果你使用的是默认许可,你将只允许扫描appscan中的测试网站。要扫描自己的网站,需要付费购买许可版本. 探索和测试阶段: 在我们开始扫描之前,让我们对Appscan的工作做一个了解.任何自动化扫描器都有两个目标:找出所有可用的链接和攻击寻找应用程序漏洞。 探索(Explore): 在探索阶段,Appscan试图遍历网站中所有可用的链接,并建立一个层次结构。它发出请求,并根据响应来判断哪里是一个漏洞的影响范围。例如,看到一个登陆页面,它会确定通过绕过注入来通过验证.在探索阶段不执行任何的攻击,只是确定测试方向.这个阶段通过发送的多个请求确定网站的结构和即将测试的漏洞范围。 测试(Test): 在测试阶段,Appscan通过攻击来测试应用中的漏洞.通过释放出的实际攻击的有效载荷,来确定在探索阶段建立的安全漏洞的情况.并根据风险的严重程度排名。 在测试阶段可能回发现网站的新链接,因此Appscan在探索和测试阶段完成之后会开始另一轮的扫描,并继续重复以上的过程,直到没有新的链接可以测试。扫描的次数也可以在用户的设置中配置. 1. 新建扫描
2.
点击完全扫描配置,弹出以下窗口。
选择环境定义,并对网站使用的web服务器,应用程序服务器,数据库服务器进行按网站的配置填写。完成后点确定,并再点扫描目标笛导下一步。弹出以下窗口。
针对大型网站的扫描,我们按照戴明环 PDCA 的方法论来进行规划和讨论,建议 AppScan 使用步骤:计划(Plan)、执行(Do)、检查(check)、分析(Analysis and Action)。 1.在计划阶段:明确目的,进行策略性的选择和任务分解。 明确目的:选择合适的扫描策略 了解对象:首先进行探索,了解网站结构和规模 确定策略:进行对应的配置 按照目录进行扫描任务的分解 按照扫描策略进行扫描任务的分解 2.执行阶段:一边扫描一遍观察 进行扫描 先爬后扫(继续仅测试) 3.检查阶段(Check) 检查和调整配置 4.结果分析(Analysis) 对比结果 汇总结果(整合和过滤) 下面我们针对每个阶段,进行具体的阐述。 准备阶段 AppScan 安装环境要求和检查 为了保证更好的扫描效果,安装 AppScan 的硬件建议配置如下: Rational AppScan 安装配置要求 硬件最低需求 处理器Pentium P4,2.4 GHz 内存2 GB RAM 磁盘空间30 GB 网络1 NIC 100 Mbps(具有已配置的 TCP/IP 的网络通信) 其中,处理器和内存建议越大越好,而磁盘空间,建议系统盘(一般是 C 盘)磁盘空间至少保留 10G,如果系统盘磁盘空间比较少,可以考虑把用户文件等保存在其他盘;如默认的用户文件是:C:\Documents and Settings\Administrator\My Documents\AppScan;可以修改为其他路径。该路径可以在菜单栏中依次选择工具 - 选项 - 一般 - 文件位置部分修改。 图 1. 设置文件保存路径
1.1跟我学IBM AppScan Web安全检测工具——如何应用AppScan软件工具进行安全检测(第1部分) 1.1.1新建和定义扫描配置 1、新建一个新的扫描 启动AppScan后可以在欢迎界面中点击“创建新的扫描”链接,或者选择“文件”菜单中的“新建”子菜单项目。 都将出现下面的“新建扫描”时所需要选择的模板对话框窗口,主要提供有如下类型的模板——常规扫描、快速且简单的扫描、综合扫描、基于参数的导航、WebSphere
Commerce、WebSphere Portal、https://www.doczj.com/doc/4b10550378.html,、Hacme Bank、WebGoat v5等。 当然,也可以在欢迎对话框界面中选中已经存在的扫描配置文件,从而重用原有的扫描配置结果。 将出现如下的加载信息
可以在此配置文件的基础上继续检测或者显示出以前的检测结果信息。 2、应用某个扫描模板 选择一个适合满足检测要求的扫描模板——在模板中包括已经定义好的扫描配置,选择一个模板后会出现配置向导——本示例选择“常规扫描”模板(使用默认模板)。然后将出现下面的“扫描配置向导”对话框。 扫描配置向导是AppScan工具的核心部分,使用设置向导可以简化检测的配置过程。目前,在本示例程序中没有下载安装“GSC Web Service记录器”组件,因此目前还不能对“Web Service”相关的程序进行扫描。如果在Web应用系统中涉及Web Service,则需要下
载安装“GSC Web Service记录器”组件。 在“扫描配置向导”对话框中选择扫描的类型,目前选择“Web应用程序扫描”类型选择项目。然后再点击“下一步”按钮,将出现下面的“URL和服务器”界面。 3、定义URL和服务器 在“URL和服务器”界面中,根据检测的需要进行相关的配置定义。 (1)Starting URL(扫描的起始网址) 此功能指定要扫描的起始网址,在大多数情况下,这将是该网站的登陆页面或者Web 应用系统的首页面。Rational AppScan 提供有测试站点(https://www.doczj.com/doc/4b10550378.html,,而登录https://www.doczj.com/doc/4b10550378.html, 站点的用户名和密码为:jsmith / Demo1234),但本示例选择“http://XXX.XX.XX.XXX:3030/”(XX考勤系统)作为检测的起始网址,并选择“仅扫描此目录中或目录下的链接”的选择框,从而可以限制只扫描目标Web应用系统所在的工作目录下的各个链接。 (2)Case Sensitive Path(区分大小写的路径) 如果待检测的服务器URL有大小写的区别,则需要选择此项。对大小写的区别取决于服务器的操作系统类型,在Linux/Unix系统中对URL的大小写是敏感的,而Windows是没有此特性的。本示例的检测目标Web应用系统是部署在Windows系统中的,因此不需要选中“区分大小写的路径”的选择项目。 (3)Additional Servers and Domains(其他服务器和域) 在扫描过程中,AppScan尝试抓取本Web应用系统上的所有链接。当它发现了一个链接指向不同的域(比如子站点等),它是不会进行扫描攻击的,除非在“Additional Servers and Domains”(其他服务器和域)中有指定。因此,通过指定该标签下的链接来告诉AppScan 继续扫描,即使它和URL是在不同的域下。
?登录|注册 ? ? 沉底的石头 ?目录视图 ?摘要视图 ?订阅 【免费公开课】Android APP开发之真机调试环境实现有奖试读—漫话程序员面试求职、升职加薪、创业与生活 AppScan扫描建议 2014-09-10 14:56 6270人阅读评论(0) 收藏举报 分类: 系统安全(4) 1.1 AppScan扫描建议 若干问题的补救方法在于对用户输入进行清理。 通过验证用户输入未包含危险字符,便可能防止恶意的用户导致应用程序执行计划外的任务,例如:启动任意 SQL 查询、嵌入将在客户端执行的 Javascript 代码、运行各种操作系统命令,等等。 建议过滤出所有以下字符: [1] |(竖线符号) [2] & (& 符号) [3];(分号) [4] $(美元符号) [5] %(百分比符号) [6] @(at 符号) [7] '(单引号) [8] "(引号)
[9] \'(反斜杠转义单引号) [10] \"(反斜杠转义引号) [11] <>(尖括号) [12] ()(括号) [13] +(加号) [14] CR(回车符,ASCII0x0d) [15] LF(换行,ASCII0x0a) [16] ,(逗号) [17] \(反斜杠) 以下部分描述各种问题、问题的修订建议以及可能触发这些问题的危险字符:SQL 注入和 SQL 盲注: A. 确保用户输入的值和类型(如 Integer、Date 等)有效,且符合应用程序预期。 B. 利用存储过程,将数据访问抽象化,让用户不直接访问表或视图。当使用存储过程时,请利用 ADO 命令对象来实施它们,以强化变量类型。 C. 清理输入以排除上下文更改符号,例如: [1] '(单引号) [2] "(引号) [3] \'(反斜线转义单引号) [4] \"(反斜杠转义引号) [5] )(结束括号) [6] ;(分号) 跨站点脚本编制: A. 清理用户输入,并过滤出 JavaScript 代码。我们建议您过滤下列字符: [1] <>(尖括号) [2] "(引号) [3] '(单引号)
目录 1.工具安装 (2) 1.1工具包 (2) 1.2安装步骤 (2) 2.安全扫描 (2) 2.1前提条件 (2) 2.2扫描设置 (2)
1.工具安装 1.1工具包 在服务器上拷贝最近的压缩包,到本地进行解压,压缩包中包含内容如下: 1.2安装步骤 1、先安装AppScan8.0_Setup.exe,再次安装8.0.0.3-AppScan_Setup.exe 2、拷贝patch.exe、Keygen.exe到Appscan 安装目录如:C:\Program Files\IBM\Rational AppScan 3、双击运行patch.exe 4、双击运行Keygen.exe,生成license.lic 5、拷贝生成的license.lic到Appscan目录下的license文件夹中,如:C:\Program Files\IBM\Rational AppScan\License 6、在开始-运行点击IBM Rational Appscan 8.0 启动安全扫描工具 2.安全扫描 2.1前提条件 扫描的软件是B/S结构,验证码去掉或者已经写死。扫描一般分为前后台扫描,开发提供安全扫描的地址URL,用户名和密码。 2.2扫描设置 1、打开工具,点击【创建新的扫描】-【常规扫描】-【下一步】 2、输入要扫描的URL地址,如图:
3、点击【下一步】,在弹出框中点击【记录】 4、在弹出的扫描界面输入用户名、密码、验证码,点击登录,登录成功点击退出 5、点击【完全扫描配置】弹出“扫描配置”界面,在【登录管理】中点击“详细信息”如图: 6、在“登录序列”中选中“会话中”点击右键,修改为:忽略 7、点击【环境定义】选择:web服务器、应用程序服务器、数据库类型、第三方组件(由当前系统环境结构进行选择),其他参数项参照如下如:
本文将介绍针对扫描结果的分析,也是一次完整的渗透测试必须经历的环节。 扫描开始的时候,AppScan会询问是否保存扫描结果,同时下方有进度条显示扫描的进度。 在扫描过程中,如果遇到任何连接问题或者其他任何问题,可以暂停扫描并在稍后继续进行。如之前讲的扫描包括两个阶段-探索、测试。AppScan中的Scan Expert和HP WebInspect中的建议选项卡类似。Scan Expert分析扫描的配置,然后针对变化给出配置建议,目的是为了更好的执行一次扫描,可以选择忽略或者执行这些建议。AppScan的窗口大概分三个模块。Application Links(应用链接),Security Issues(安全问题),and Analysis(分析)如下图所示:
Application Links Pane(应用程序结构) 这一块主要显示网站的层次结构,基于URL和基于内容形式的文件夹和文件等都会在这里显示,在旁边的括号里显示的数字代表存在的漏洞或者安全问题。通过右键单击文件夹或者URL可以选择是否忽略扫描此节点。Dashboard窗格会根据漏洞严重程序,高中低列出网站存在的问题情况,一次Dashboard将反映一个应用程序的整体实力。Security Issues Pane(安全问题) 这个窗格主要显示应用程序中存在的漏洞的详细信息。针对每一个漏洞,列出了具体的参数。通过展开树形结构可以看到一个特定漏洞的具体情况,如下所示: 根据扫描的配置,AppScan会针对各种诸如SQL注入的关键问题,以及像邮件地址模式发现等低危害的漏洞进行扫描并标识出来,因为扫
描策略选择了默认,AppScan会展示出各种问题的扫描情况。右键单击某个特定的漏洞可以改变漏洞的严重等级为非脆弱,甚至可以删除。Analysis Pane(分析) 选择Security Issues窗格中的一个特定漏洞或者安全问题,会在Analysis窗格中看到针对此漏洞或者安全问题的四个方面:Issue information(问题信息),Advisory(咨询)、Fix Recommendation(修复建议), Request/Response(请求/相应). Issue information(安全问题信息) Issue information 标签下给出了选定的漏洞的详细信息,显示具体的URL和与之相关的安全风险。通过这个可以让安全分析师需要做什么,以及确认它是一个有效的发现。 Advisory(咨询) 在此选项卡,你可以找到问题的技术说明,受影响的产品,以及参考链接。 Fix Recommendation(修复建议) 本节中会提到解决一个特定问题所需要的步骤. Request/Response(请求/响应) 此标签显示发送给应用程序测试相关反应的具体请求的细节.在一个单一的测试过程中,根 据安全问题的严重性会不止发送一个请求.例如,检查SQL盲注漏洞,首先AppScan中发 送一个正常的请求,并记录响应。然后发送一个SQL注入参数,然后再记录响应.同时发送 另外一个请求,来判断条件,根据回显的不同,判断是否存在脆弱性漏洞。在此选项卡,有 以下一些标签.如图: Show in Browser(在浏览器显示),让你在浏览器看到相关请求的反应,比如在浏览器查看跨
十大web安全扫描工具 扫描程序可以在帮助造我们造就安全的Web站点上助一臂之力,也就是说在黑客“黑”你之前,先测试一下自己系统中的漏洞。 我们在此推荐10大Web漏洞扫描程序,供您参考。 1.Nikto 这是一个开源的Web服务器扫描程序,它可以对Web服务器的多种项目(包括3500个潜在的危险文件/CGI,以及超过900个服务器版本,还有250多个服务器上的版本特定问题)进行全面的测试。其扫描项目和插件经常更新并且可以自动更新(如果需要的话)。 Nikto可以在尽可能短的周期内测试你的Web服务器,这在其日志文件中相当明显。不过,如果你想试验一下(或者测试你的IDS系统),它也可以支持LibWhisker的反IDS方法。 不过,并非每一次检查都可以找出一个安全问题,虽然多数情况下是这样的。有一些项目是仅提供信息(“info only”)类型的检查,这种检查可以查找一些并不存在安全漏洞的项目,不过Web管理员或安全工程师们并不知道。这些项目通常都可以恰当地标记出来。为我们省去不少麻烦。 2. Paros proxy 这是一个对Web应用程序的漏洞进行评估的代理程序,即一个基于Java的web代理程序,可以评估Web应用程序的漏洞。它支持动态地编辑/查看HTTP/HTTPS,从而改变cookies 和表单字段等项目。它包括一个Web通信记录程序,Web圈套程序(spider),hash 计算器,还有一个可以测试常见的Web应用程序攻击(如SQL注入式攻击和跨站脚本攻击)的扫描器。 3.WebScarab 它可以分析使用HTTP 和HTTPS协议进行通信的应用程序,WebScarab可以用最简单地形式记录它观察的会话,并允许操作人员以各种方式观查会话。如果你需要观察一个基于HTTP(S)应用程序的运行状态,那么WebScarabi就可以满足你这种需要。不管是帮助开发人员调试其它方面的难题,还是允许安全专业人员识别漏洞,它都是一款不错的工具。 4.WebInspect 这是一款强大的Web应用程序扫描程序。SPI Dynamics的这款应用程序安全评估工具有助于确认Web应用中已知的和未知的漏洞。它还可以检查一个Web服务器是否正确配置,并会尝试一些常见的Web攻击,如参数注入、跨站脚本、目录遍历攻击(directory traversal)等等。 5.Whisker/libwhisker Libwhisker是一个Perla模块,适合于HTTP测试。它可以针对许多已知的安全漏洞,测试HTTP服务器,特别是检测危险CGI的存在。Whisker是一个使用libwhisker的扫描程序。 6.Burpsuite 这是一个可以用于攻击Web应用程序的集成平台。Burp套件允许一个攻击者将人工的和自动的技术结合起来,以列举、分析、攻击Web应用程序,或利用这些程序的漏洞。各种各样的burp工具协同工作,共享信息,并允许将一种工具发现的漏洞形成另外一种工具的基础。
扫描程序可以在帮助造我们造就安全的Web站点上助一臂之力,也就是说在黑客“黑”你之前,先测试一下自己系统中的漏洞。我们在此推荐10大Web漏洞扫描程序,供您参考。 1. Nikto 这是一个开源的Web服务器扫描程序,它可以对Web服务器的多种项目(包括3500个潜在的危险文件/CGI,以及超过900个服务器版本,还有250多个服务器上的版本特定问题)进行全面的测试。其扫描项目和插件经常更新并且可以自动更新(如果需要的话)。 Nikto可以在尽可能短的周期内测试你的Web服务器,这在其日志文件中相当明显。不过,如果你想试验一下(或者测试你的IDS系统),它也可以支持LibWhisker的反IDS方法。 不过,并非每一次检查都可以找出一个安全问题,虽然多数情况下是这样的。有一些项目是仅提供信息(“info only” )类型的检查,这种检查可以查找一些并不存在安全漏洞的项目,不过Web管理员或安全工程师们并不知道。这些项目通常都可以恰当地标记出来。为我们省去不少麻烦。 2. Paros proxy 这是一个对Web应用程序的漏洞进行评估的代理程序,即一个基于Java的web代理程序,可以评估Web应用程序的漏洞。它支持动态地编辑/查看HTTP/HTTPS,从而改变cookies 和表单字段等项目。它包括一个Web通信记录程序,Web圈套程序(spider),hash 计算器,还有一个可以测试常见的Web应用程序攻击(如SQL注入式攻击和跨站脚本攻击)的扫描器。 3. WebScarab 它可以分析使用HTTP 和HTTPS协议进行通信的应用程序,WebScarab可以用最简单地形式记录它观察的会话,并允许操作人员以各种方式观查会话。如果你需要观察一个基于HTTP(S)应用程序的运行状态,那么WebScarabi就可以满足你这种需要。不管是帮助开发人员调试其它方面的难题,还是允许安全专业人员识别漏洞,它都是一款不错的工具。 4. WebInspect 这是一款强大的Web应用程序扫描程序。SPI Dynamics的这款应用程序安全评估工具有助于确认Web应用中已知的和未知的漏洞。它还可以检查一个Web服务器是否正确配置,并会尝试一些常见的Web攻击,如参数注入、跨站脚本、目录遍历攻击(directory traversal)等等。 5. Whisker/libwhisker Libwhisker是一个Perla模块,适合于HTTP测试。它可以针对许多已知的安全漏洞,测试HTTP服务器,特别是检测危险CGI的存在。Whisker是一个使用libwhisker的扫描程序。 6. Burpsuite 这是一个可以用于攻击Web应用程序的集成平台。Burp套件允许一个攻击者将人工的和自
使用Appscan保障Web应用安全性 编写:梁建增 https://www.doczj.com/doc/4b10550378.html,
Appscan简介 IBM Rational AppScan Standard Edition 是一种自动化Web 应用程序安全性测试引擎,能够连续、自动地审查Web 应用程序、测试安全性问题,并生成包含修订建议的行动报告,简化补救过程。 IBM Rational AppScan Standard Edition 提供: 核心漏洞支持:包含W ASC 隐患分类中已识别的漏洞——如SQL 注入、跨站点脚本攻击和缓冲区溢出。 广泛的应用程序覆盖:包含集成Web 服务扫描和JavaScript 执行(包括Ajax)与解析。 自定义和可扩展功能:AppScan eXtension Framework 运行用户社区共享和构建开源插件。 高级补救建议:展示全面的任务清单,用于修订扫描过程中揭示的问题。 面向渗透测试人员的自动化功能:高级测试实用工具和Pyscan 框架作为手动测试的补充,提供更强大的力量和更高的效率。 法规遵从性报告:40 种开箱即用的遵从性报告,包括PCI Data Security Standard、ISO 17799 和ISO 27001 以及Basel II。
1.信息系统安全性概述 在进行软件安全性检测之前,首先我们应该具备一定的信息系统安全性的知识,在我们对整体范围的信息系统安全性保障有一定认识的前提下,才能决定我们能更好的保障该环境下的软件应用安全性。 计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。从而我们可以得知计算机信息系统的安全性是一个相当复杂且广的课题,通常情况下,计算机信息系统都是以应用性为主题,以实现不同用户群的相应需求实现。而应用性的实现通常是采用应用软件而达成。典型的计算机信息系统,包括了机房环境,主机设备,网络交换设备,传输通信媒介,软件系统以及其他相关硬软件,而由于当前信息系统网络的连通性,给安全性问题带来了更大的挑战。 在当今的时代,Internet(因特网)已经成为一个非常重要的基础平台,很多企业都将应用架设在该平台上,为客户提供更为方便、快捷的服务支持。这些应用在功能和性能上,都在不断的完善和提高,然而在非常重要的安全性上,却没有得到足够的重视。由于网络技术日趋成熟,黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对Web 应用的攻击上。根据Gartner 的最新调查,信息安全攻击有75% 都是发生在Web 应用而非网络层面上。同时,数据也显示,三分之二的Web 站点都相当脆弱,易受攻击。然而现实确是,绝大多数企业将大量的投资花费在网络和服务器的安全上,没有从真正意义上保证Web 应用本身的安全,给黑客以可乘之机。