1. 程式人生 > >IBM Rational Appscan web漏洞掃描系統使用教程(圖文)

IBM Rational Appscan web漏洞掃描系統使用教程(圖文)

使用方法
用法:圖形介面操作
說明:掃描由兩個階段組成:探測和測試。
探測階段:
AppScan用模擬人為點選鏈界和填充表單的方式探測站點(應用或者Web服務)。分析響應,查詢潛在弱點的跡象並利用它們建立“測試請求”。
測試階段:
AppScan在探索期間傳送上千個預定的測試請求。記錄並分析應用的響應,辨別安全問題並排列它們的安全級別。
圖形介面:
用法:圖形介面操作

pw88.com_20140508160738.jpg

1. 建立新的掃描任務

pw88.com_20140508161223.jpg

2. 選擇適當的測試策略

pw88.com_20140508161256.jpg

3. 選擇需要掃描的網站,在url中輸入網址,即可點選開始掃描。

pw88.com_20140508161327.jpg

4. 檢視或匯出掃描結果。
說明:掃描由兩個階段組成:探測和測試。
探測階段:
AppScan用模擬人為點選鏈界和填充表單的方式探測站點(應用或者Web服務)。分析響應,查詢潛在弱點的跡象並利用它們建立“測試請求”。
測試階段:
AppScan在探索期間傳送上千個預定的測試請求。記錄並分析應用的響應,辨別安全問題並排列它們的安全級別。

由於軟體是商業付費軟體,需要購買license繼續使用。
 

風險提示
1、 IBM Rational Appscan具有強大的掃描能力和外掛庫,在掃描時支援大量併發掃描,對於一些網站伺服器處理能力較低的網站,建議調整掃描策略,設定較低的掃描併發值;
2、 在掃描時,appscan會構造大量資料包對服務端程式進行請求,包括GET、PUT和POST請求,可能會在服務端程式表單中填充大量測試資料或者在根目錄中寫入測試資料。