网站内容更新提醒软件下载(Web应用结构2AppScan可判断存在安全漏洞类型的安全漏洞4)

　　网站内容更新提醒软件下载(Web应用结构2AppScan可判断存在安全漏洞类型的安全漏洞4)

　　一、AppScan 的工作原理

　　对于一个综合大的网站，可能有上千页。以登录界面为例，至少要输入用户名和密码，也就是这个页面有两个字段。提交用户名密码等登录信息时，需要检查网站是否正确，可能会有新的检查页面。这里每个页面的每个参数都可能存在安全漏洞，可能成为攻击目标。AppScan 根据设定的策略和规则对 Web 应用程序进行安全攻击，以检查 网站 中是否存在安全漏洞。

　　使用AppScan时，通过配置网站的URL，AppScan会使用“探索”技术发现这个网站中存在多少目录和页面，页面中的参数是什么等，即探索出网站的整体结构。通过“探索”，可以确定测试的目标和范围，然后可以使用AppScan扫描规则库对找到的每个页面的每个参数进行安全检查。

　　简而言之，APPScan 的工作原理如下：

　　1）通过“探索”功能，利用HTTP Request和Response的内容爬出指定网站的整个web应用结构

　　2）AppScan 本身内置了漏洞扫描规则库，可以随版本更新。从探出的URL中，修改参数或目录名等方法构造不同的URL控制组向服务器发送请求或攻击

　　3）根据HTTP Response返回的内容，与正常请求返回的响应比较，是否有差异，这个差异是否符合扫描规则库的设定规则，判断是否有差异安全漏洞的不同类型

　　4） 如果APPScan可以确定存在安全漏洞，则会对这些漏洞的威胁风险进行说明，给出严重程度的警告，并给出修复建议和方法，并提醒漏洞的位置。

　　二、APPScan扫描操作教程

　　1.打开 AppScan

　　2.文件-->新建-->新建扫描，如：常规扫描

　　3.进入配置向导页面，选择Web应用扫描，点击“下一步”

　　PS：如需使用Web Service扫描功能，需提前下载安装GSC Web Services记录器

　　4. 进入扫描配置向导页面，URL输入框地址为被测URL或其IP地址，如输入如下被测URL，点击“下一步”

　　PS：1）可以打开AppScan内置浏览器查看测试链接是否可以正常访问；2）下面测试的URL是一个特定的测试漏洞网站，不经常使用。网站

　　5.登录方式：根据实际需要选择（如：自动），用户名和密码为被测网站的登录账号，点击“下一步”

　　PS：1）如果选择“记录”作为登录方式，可以通过界面右侧的“记录(R)”按钮打开APPScan内置浏览器，输入登录信息。内置浏览器关闭后，AppScan可以记录用户名和密码，扫描时相当于登录账号进行扫描；2） 如果选择“提示”，在扫描探索过程中会提示您根据网站输入登录信息。账户信息正确后继续扫描；3） 如果选择“无”，则无需输入登录账号

　　6.选择合适的操作策略（一般保持默认选择，即“默认值”），点击“下一步”

　　7. 设置启动方式，根据实际需要选择（如：只使用自动“探索”启动），点击“完成”开始扫描或测试

　　PS：1） 全自动扫描：探索的同时也进行攻击测试；2） 仅自动“探索”：自动探索网站的目录结构，可测试的链接范围和数量，无实际攻击测试；3）手动探索：先通过内置AppScan浏览器打开测试过的网站，手动点击不同目录页面，然后AppScan记录；4） 稍后开始扫描：先保存这个网站的扫描配置，如果要稍后扫描，再继续操作。

　　8.保存配置：例如点击“是”将配置名称保存到指定文件夹

　　9. 第八步的配置保存后，会自动跳转到扫描网站的界面开始扫描。通常，扫描时间取决于测试范围和策略。在这里您可以看到扫描进度

　　PS：扫描过程中，如果扫描时间较长，可以自动让它扫描，或者点击“暂停”-保存本次扫描，下次再继续未扫描的过程；如果直接点击右上角的“×”关闭AppScan，则不会保存本次扫描的过程

　　10. 扫描完成后，可以查看扫描结果如下图

　　11.点击“Scan”-“Test Only”开始对本次探索的结果进行攻击测试

　　根据APPScan在扫描测试时的工作情况，是否扫描到安全漏洞，扫描过程中是否有进度被阻塞无法继续扫描，是否覆盖了设置的URL范围，是否可以扫描到同一个模块反复比较调整，得到适合自己的环境配置

　　12. 测试完成后，保存本次AppScan扫描测试的结果；从统计的安全问题中可以查看对应的漏洞链接、请求和响应以及修复建议

　　13.点击“报告”创建不同需求的安全报告

　　三、使用AppScan的特别注意事项【重要！】

　　[1] AppScan扫描过程中，会向服务器发送很多请求，会占用一定的正常请求访问的资源，可能会造成一些垃圾数据。建议只在本地测试环境中执行。

　　[2] 使用AppScan前，请提前备份好数据库数据。如果扫描导致服务器异常关闭，则需要重启服务；如果扫描产生过多的请求数据或web程序异常，您可能需要从备份数据中恢复。一般情况下，正常扫描Web程序很少会导致Web服务异常

　　[3] 配置AppScan扫描时，扫描方向分为Web Application和Web Service。如果只想检测Web程序本身的漏洞，可以选择Web Application扫描；如果选择Web Service扫描，需要提前通知服务器维护负责人，建立异常情况的处理机制，最好避开访问请求高峰或上班族密集使用的时间，如下班后自动扫描

　　[4] AppScan扫描结果不代表完全真实情况，受所用扫描器版本漏洞规则库规则和运营商配置策略限制。在扫描过程中，可能会误判或漏检扫描仪。测量。如有必要，需要对扫描结果进行人工验证，可以分阶段扫描同一个Web应用，比较差异

　　[5] 扫描配置时，一般遵循默认的测试策略-WASC威胁分类；如果服务器本身的性能压力不强，或者漏洞很多的时候，不适合选择“侵入式”策略。这种策略存在入侵服务器、关闭服务、破坏数据库等风险。

　　[6] 使用破解版AppScan扫描Web应用时，如果Web网站结构复杂，模块数量多，涉及的URL数量巨大（数万-10万以上） ，一次扫描整个站点是不合适的。无需扫描几个小时就可以扫描网站的所有结构。持续时间过长也可能导致 AppScan 冻结并显示“正在扫描”，但实际上它并没有继续扫描。因此，在第一次探索了大概的网站结构和容量后，如果容量巨大，最好分而治之，按照模块结构分阶段扫描测试。

　　[7] 结果分析

　　根据APPScan扫描的结果，按照不同的严重程度对漏洞进行排序，通过人工+工具验证来验证漏洞的可靠性，消除误报，尽可能找出漏报，并总结结果本次扫描。对以上已验证的安全漏洞、漏洞威胁程度进行优先排序，并针对每个漏洞提出修复建议

　　然后，将安全漏洞报告提交给项目负责人，由负责人决定将哪些漏洞移交给开发工程师进行修复，然后安全测试工程师返回验证修复状态

　　-------------------------------------------------- -------------------------------------------------- -----

　　PS：以上不是绝对的。您需要根据实际情况通过实践不断优化和改进，以获得最适合您环境的运营策略