不用登录的小游戏网站,沈阳海外模板建站,前端开发是干嘛,湖北网站建设开发这里主要分享如何使用AppScan对一大项目的部分功能进行安全扫描。 ------------------------------------------------------------------------ 其实#xff0c;对于安全方面的测试知道的甚少。因为那公司每个月要求对产品进行安全扫描。掌握了一人点使用技巧#xff0c;所…这里主要分享如何使用AppScan对一大项目的部分功能进行安全扫描。 ------------------------------------------------------------------------ 其实对于安全方面的测试知道的甚少。因为那公司每个月要求对产品进行安全扫描。掌握了一人点使用技巧所以拿来与大家分享。 因为产品比较大功能模块也非常之多我们不可能对整个产品进行扫描。再一个每个测试员负责测试的模块不同。我们只需要对自己负责测试的模块扫描即可。 扫描工具自然是IBM AppScan 功能强大使用简单。略懂安全测试的都使用或听说过这个工具。这里就不过多介绍了。 抽取被扫描功能的链接 首先要抽取扫描的链接。fiddler工具来抽取。打开系统找到你需要做扫描的功能模块开启fiddler拦截功能然后对你所要测试的功能做各种操作fiddler就会记录的所有访问的链接因为涉及到隐私所以下图会比较模糊。 其实请求中有非常多的链接但许多是一样我们只要把不一样的全找出来就可以了。这里你需要知道每个连接的情况。也有一些外部链接是不需要抽取的。 aaa.bbb.cn
g2.aaa.bbb.cn
g1.aaa.bbb.cn
webapp.aaa.bbb.cn
uec.aaa.bbb.cn
addrapi.aaa.bbb.cn
smsrebuild1.aaa.bbb.cn
disk2.aaa.bbb.cn
mw.aaa.bbb.cn
scriptlog.aaa.bbb.cn
images.139cm.com
appmail.aaa.bbb.cn
gfile5-disk.aaa.bbb.cn
gfile8-disk.aaa.bbb.cn
gfile7-disk.aaa.bbb.cn 把所有链接抽取出来之后就没几个了。去掉重复的就没多少了。 完成配置向导 下面打开appscan创建扫描。关于appascan的下载安装与破解、介绍我在另一篇博文已讲 选择常规扫描进入配置向导。点击下一步进入配置 上面这一步是重点起始URL填写你要扫描的网址。其它服务器和域这里把抽取的所有链接都添加进去。包括后网站的首页链接。点击下一步。 这里提供三种方式来记录帐号不多介绍。第一种和第三种最常用。 然后点击几个下一步后出现后面的选项选择第三个或第四项完成扫描的配置。 录制扫描脚本 完成配置后下面就要开始录制脚本了呢。 点击工具栏上的探索按钮appscan会打开自带浏览器输入系统用户名密码登录系统对你要扫描的模块功能进行操作。 上图为我打开的appscan自带浏览器因为我输入的网址有误所以无法访问。操作完成之后点击暂停按钮关闭浏览器窗口即可。 关闭浏览器后上面的窗口中会记录所有你访问的连接点击确定。所有的信息就会记录下来了下面要做的点击点击工具栏上的扫描按钮开始扫描。我们一般晚上下班进行第二天早上来看扫描结果就可以了。 ------------------------------------ 本来到这里就可以结束了我再多说个设置。呵呵在手动探索的时候因为打开的浏览器是appscan自带的可能会存在兼容性问题有些页面无法正常打开。那么是否可以用我们电脑上的浏览器IE 、火狐、谷歌来进行录制呢了。当然是可以的。 菜单栏--工具---选项----高级 这个一定要大图我们只需要修改openExternalBrowser 选项“值”的参数就可以了1IE、2firefox、3chrome。 ----------------- 安全测试挺有前途的国内起步很晚这两年才逐渐受到重视。公司也越来越重视安全。 转载于:https://www.cnblogs.com/myc618/p/4585292.html
