AppScan 扫描工具及使用

一、简介

原名 watchire Appscan ,2007年被IBM收购,成为IBM Appscan。IBM AppScan是一款非常好用且功能强大的Web 应用安全测试工具

曾以 Watchfire AppScan 的名称享誉业界,Rational AppScan 可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞

例如 SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)、缓冲区溢出(buffer overflow)及最新的 Flash/Flex 应用及 Web 2.0 应用曝露等方面安全漏洞的扫描。

二、优缺点

1.优点
  1. 知名度高,历史悠久,一款只针对于Web Application的扫描工具

  2. 扫描过程:探索阶段 -> 测试阶段。不同于主流的拥有截断代理功能扫描器,Appscan将浏览器集成到内部中进行手动爬网等,非常方便。

  3. 第一个扫描过程如果发现新的URL地址,那么第一个扫描结束后,下一个对于新URL地址的扫描自动开始。

2.缺点
  1. 更新慢

  2. appscan扫描太慢,不如AWVS扫描快

三、安装

1.首先双击"AppScan_Setup_10.0.0.exe"开始安装,选择简体中文;

2.勾选"我接受许可协议中的全部条款",然后继续安装;

3.选择软件安装路径,默认即可;

4.安装完成后先不要运行软件,点击完成退出引导;

5.将破解补丁文件夹中rcl_rational.dll复制到软件安装目录下替换;

6.然后运行AppScan10,点击"帮助-许可证-切换到IBM许可证";

7.选择打开Appscan License Manager

在"许可证配置-节点锁定许可证文件"中AppScanStandard.txt作为许可证;

8.至此,appscan10中文破解版成功激活,所有功能全部免费使用。

四、主要模块介绍

1.常规式扫描

文件 ---> 新建 ---> 扫描Web应用程序 。ps:扫描Web应用程序之后,一直按照向导操作即可完成扫描。

配置扫描向导

网站的身份认证

配置扫描策略

策略优化,直接点击下一步即可

一般来说,选择第三个,因为扫描的过程是:手动爬网+自动爬网+主动扫描

手动探索结束后,添加所有

有了爬网和初步检测的结果

进行扫描,选择第二个,先让appscan做一个自动爬网

当手动爬网,自动爬网结束之后,接下来就是扫描

当第一次扫描结束后,appscan会发现新的URL,建议再做一次扫描,我就不演示了,步骤和上面一样。

分析扫描结果:

手动测试验证扫描结果,类似于burp里面Repeater

2.配置式扫描
3.报告模块
4.PowerTools辅助工具

五、参考文章

https://blog.csdn.net/qq_38317509/article/details/80981430 # 渗透测试之AppScan篇

https://blog.csdn.net/qq_38317509/article/details/81347219 # Appscan工具的使用

申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。

免费领取安全学习资料包!

渗透工具

技术文档、书籍

面试题

帮助你在面试中脱颖而出

视频

基础到进阶

环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等

应急响应笔记

学习路线

相关推荐
轻口味32 分钟前
【每日学点鸿蒙知识】AVCodec、SmartPerf工具、web组件加载、监听键盘的显示隐藏、Asset Store Kit
前端·华为·harmonyos
alikami34 分钟前
【若依】用 post 请求传 json 格式的数据下载文件
前端·javascript·json
wanhengidc39 分钟前
短视频运营行业该如何选择服务器?
运维·服务器
雨中rain1 小时前
Linux -- 从抢票逻辑理解线程互斥
linux·运维·c++
-KamMinG1 小时前
Centos7.9安装openldap+phpldapadmin+grafana配置LDAP登录最详细步骤 亲测100%能行
运维·grafana
吃杠碰小鸡1 小时前
lodash常用函数
前端·javascript
Bessssss1 小时前
centos日志管理,xiao整理
linux·运维·centos
s_yellowfish1 小时前
Linux服务器pm2 运行chatgpt-on-wechat,搭建微信群ai机器人
linux·服务器·chatgpt
豆是浪个1 小时前
Linux(Centos 7.6)yum源配置
linux·运维·centos
vvw&1 小时前
如何在 Ubuntu 22.04 上安装 Ansible 教程
linux·运维·服务器·ubuntu·开源·ansible·devops