Web 漏洞扫描之 AppScan | 学习笔记

开发者学堂课程【网络安全攻防 - Web渗透测试：Web 漏洞扫描之 AppScan】学习笔记，与课程紧密联系，让用户快速学习知识。

课程地址：https://developer.aliyun.com/learning/course/630/detail/9926

Web 漏洞扫描之 AppScan

内容介绍

一、AppScan 介绍

二、AppScan 功能及特点

三、项目实现环境

四、AppScan安装

一、AppScan 介绍

1、作用：

IBM^@ Security AppScan^@是一个适合安全专家的 Web 应用程序和 web 服务渗透测试解决方案。国外商业漏扫产品中，少有的能支持中文的漏扫，运行于 Windows 平台；界面清晰、配置简单丰富的中文和产品文档,详细的漏洞说明和修复建议;支持丰富的扫描报告,包括安全性、行业标准、合规一次性报告。

2、下载官方网站：

https://www.ibm.com/developervorksr/downloads/r/appscan/点击这个网站可以下载使用版或者在线购买这个软件。

（1）可以了解到关键收益:

①　通过使用内置的 Scan Configuration Wizard 快速入门。

②　获得您的 Web 应用程序和 Web 服务的全面的安全性评估。

③　通过全面的公告和修复建议来了解漏洞以及解决它们的方式。

④　使用详细的 PDF 报告向开发团队传达漏洞。

⑤　确定违反行业法规的区域。

（2）可以了解到 AppScan 关键功能:

①　对现代 Web 应用程序和服务执行自动化的动态应用程序安全测试(DAST)和交互式应用程序安全测试(IAST)。

②　支持 Web 2.0、JavaScript 和 AJAX 框架的全面的 JavaScript 执行引擎。

③　涵盖 XML 和 JSON 基础架构的 SOAP 和 REST Web 服务测试支持 WS -Security 标准、XML 加密和 XML 签名。

（3）详细的漏洞公告和修复建议。

（4）40多种合规性报告,包括支付卡行业数据安全标准(PCI DSS)、支付应用程序数据安全标准(PA-DSS)、ISO 27001和 ISO 27002 ,以及 Basel II。

（5）IBM Security AppScan eXtensions Framework 提供的自定义功能和可扩展性。

AppScan 还提供漏扫网站：可以免费下载并试用 IBMO Security AppScan° Standard ，该试用版允许对测试 Web 应用程序 demo.testfire.net 运行示例扫描。还有一个针对此应用程序的预定义的扫描配置模板,可帮助快速入门。请使用以下凭证向 demo.testfire.net 执行身份验证

:用户名: jsmith、密码: Demo1234。

可以看到，网站是 aspx，而大部分网站用的都是 php，在测试的时候还是可以使用之前所测试时候awvs它所提供的平台，也可以使用靶机。

二、AppScan 功能及特点

1、对现代 Web 应用程序和服务执行自动化的动态应用程序安全测试(DAST) 和交互式应用程序安全测试(IAST)。支持Web2.0、JavaScript 和 AJAX 框架的全面的 JavaScript 执行引擎。

2、涵盖 XML 和 JSON 基础架构的 SOAP 和 REST Web 服务测试支持 WS -Security 标准、XML 加密和 XML 签名。详细的漏洞公告和修复建议。

3、40多种合规性报告，包括支付卡行业数据安全标准(PCI DSS)、 支付应用程序数据安全标准(PA-DSS)、ISO 27001和 ISO 27002 ,以及 Basel II。

4、IBM Security AppScan eXtensions Framework 提供的自定义功能和可扩展性。

三、项目实现环境

1、目标靶机:

OWASP_ Broken_ Web_Apps_VM_ 1.2

2、测试渗透机:

win7

三、AppScan 安装

1、使用的是试用版本，安装完成之后，对 http://192.168.106.134/dvwa/phpinfo.php靶机扫描的结果，可以看到所有文件，从下图可以看出扫描出了很多漏洞（红色）。一开始是数据的位置，再点击问题就会显示相应的问题。

2、扫描完，有三个 PHP 远程文件包含漏洞。如果需要访问这个页面，可以复制到靶机看一下，提示有文件包含漏洞。

3、点击小箭头，右边就会出现详细的介绍，测试的情况，或者点击新窗口就会产生一个新窗口，可以看到具体的内容。

2、除此之外，还有一些参数系统调用，还有一些基于跨站脚本，已解密登录请求。

http://192.168.106.134/dvwa/vulnerabilities/brute/(1)这个页面是自己解密的，强制尝试的位置，密码在扫的时候自己给暴力破解了，破解结果是用户名是 admin，密码也是 admin。

3、查询中的密码参数，跨站脚本编制，点击跨转脚本编制，有30个，点击 output，会给到一些如何测试的例子。

5、点击问题，可以看到一些修订建议，一般是开发人员去关注的事情。

6、靶机现在扫描到了519个漏洞。靶机的每个页面都是漏洞。

7、扫描好之后，点击扫描报告，报告模版，布局，可以换 logo，或者其他徽标，报告类型可以选择安全报告、行业标准、合规一致性、增量分析、基于模版，这里选择安全报告，保存报告，设置文件名，选择报告格式。

8、大部分软件都是基于 Java 环境，所以最好是在 win7上面安装 windows 版的 Java 包，这个要注意。通过报告可以看出这个网站的漏洞特别多。

9、接下来看一下扫描的过程，点击左上角新建扫描，可以看到一些测试网站。

10、可以点击常规扫描，选择下一步，默认的就是测试网站也可以选择之前的 testphp，也就是在 awvs 用的测试站点进行扫描，只要连接显示正常就可以，也可以输入 http：//192.168.134，这个网站有一个特点，在访问某一些应用的时候不需要登录，但是像 dvwa 就是需要登录。

11、扫描的时候要注意登录的方法，选择自动，用户名 admin，密码 admin。勾选“会话中检测”。

12、使用策略，该策略包含所有测试，但侵入式和端口侦听器测试除外，默认下一步，勾选启动全面自动扫描，点击完成。输入文件名，保存。这个过程很慢，如果停下来，可以点击下拉菜单，完全开始扫描即可。

13、最终将这个报告授权给安全运维团队，或者是甲方，进行最后的评估和处理。这就是 Web 漏洞扫描之 AppScan 的使用方法，功能特别强大。