书中自有颜如玉,红袖添香夜读书!

Web安全漏洞检测工具HCL AppScan Standard

HCL AppScan Standard中文版附补丁是IBM公司出的一款Web应用识别并修复安全漏洞检测测试专业工具,采用黑盒测试的方式,可以扫描常见的web应用安全漏洞。AppScan功能十分齐全,支持登录功能并且拥有十分强大的报表。在扫描结果中,不仅能够看到扫描的漏洞,还提供了详尽的漏洞原理、修改建议、手动验证等功能。

软件说明

其工作原理,首先是根据起始页爬取站下所有可见的页面,同时测试常见的管理后台;获得所有页面之后利用SQL注入原理进行测试是否存在注入点以及跨站脚本攻击的可能;同时还会对cookie管理、会话周期等常见的web安全漏洞进行检测。

功能介绍

1、动态分析(“黑盒扫描”)
这是主要方法,用于测试和评估运行时的应用程序响应。
2、静态分析(“白盒扫描”)
这是用于在完整 Web 页面上下文中分析 JavaScript 代码的独特技术。
3、交互分析(“glass box 扫描”)
动态测试引擎可与驻留在 Web 服务器本身上的专用 glass-box 代理程序交互,从而使AppScan10中文破解版能够比仅通过传统动态测试时识别更多问题并具有更高准确性。
4、AppScan10中文破解版 的高级功能包括:
常规和法规一致性报告,并提供超过 40 个不同的开箱即用模板

软件功能

1、 测试Web应用程序,Web服务和移动后端

AppScan Standard的强大扫描引擎采用最新的算法和技术,以确保最准确的浏览范围和测试。利用AppScan独特的基于动作的技术和成千上万的内置测试,从简单的Web应用程序到单页应用程序到基于JSON的REST API,都能最好地处理实际应用程序。

2、测试优化和增量扫描

统计分析测试优化可控制速度和覆盖范围之间的折衷,并实现更快的扫描,而对准确性的影响最小。 增量扫描功能将测试工作仅集中在已更改的应用程序代码上。

3、解决复杂性

AppScan可以针对所有需求量身定制其测试。 凭借其先进的配置,用户甚至可以扫描最复杂的场景。 AppScan记录并测试复杂的多步骤序列,动态生成唯一数据并跟踪所有类型的标头和令牌。 机器学习探索可以通过预测哪些链接导致应用程序的新领域来优化大型应用程序的爬网。

4、增强洞察力

广泛的报告可对发现的问题提供强大的见解,从而简化了问题分类和解决方案。 全面的合规性和行业标准报告(例如PCI-DSS,HIPAA,OWASP Top 10,SANS 25等)可帮助您满足法规要求。

使用帮助

自动扫描如何运作

AppScan全面扫描”包含两个阶段:探索和测试。尽管扫描过程的绝大部分对于用户来说实际上是无缝的,并且直到扫描完成几乎不需要用户输入,但理解其后的原则仍然很有帮助。

1、探索阶段

在第一个阶段中,AppScan通过模拟Web用户单击链接和填写表单字段来探索站点(Web应用程序或Web Service)。这就是“探索”阶段。

AppScan将分析它所发送的每个请求的响应,查找潜在漏洞的任何指示信息。AppScan®接收到可能指示有安全漏洞的响应时,它将自动基于响应创建测试,并通知所需验证规则,同时考虑在确定哪些结果构成漏洞以及所涉及到安全风险的级别时所需的验证规则。

在发送所创建的特定于站点的测试之前,AppScan将向应用程序发送若干格式不正确的请求,以确定其生成错误响应的方式。之后,此信息将用于增加AppScan的自动测试验证过程的精确性。

2、测试阶段

在第二个阶段,AppScan将发送它在探索阶段创建的数千个定制测试请求。它使用定制验证规则记录和分析应用程序对每个测试的响应。这些规则既可识别应用程序内的安全问题,又可排列其安全风险级别。

3、扫描阶段

在实践中,“测试”阶段会频繁显示站点内的新链接和更多潜在安全风险。因此,完成探索和测试的第一个“过程”之后,AppScan将自动开始第二个“过程”,以处理新的信息。如果在第二个过程中发现了新链接,那么会运行第三个过程,依此类推。

完成配置的扫描阶段数(可由用户配置;缺省情况下为四个阶段)之后,扫描将停止,并且完整的结果可供用户使用。

4、自动扫描流程图解

下图说明了自动扫描流程的阶段和过程。请注意,此过程不需要用户进行任何操作,但是您在AppScan日志中可能会遇到对操作的引用。

HCL AppScan Standard中文版附补丁 V10.0.1安装版

赞(0) 打赏
未经允许不得转载:书香斋 » Web安全漏洞检测工具HCL AppScan Standard
分享到: 更多 (0)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏