逐浪技术--Zoomla!逐浪CMS官方博客

IBM Rational AppScan上的逐浪CMS安全测试

作者:tudou土豆 发布时间:2015-04-30 来源:本站原创 点击数: 分享网址

tudou土豆

博主:tudou土豆
个人座右铭:不要迷恋哥,哥只是个土豆

IBM Rational AppScan是web应用程序渗透测试舞台上使用最广泛的工具之一.它是一个桌面应用程序,它有助于专业安全人员进行Web应用程序自动化脆弱性评估,Zoomla!逐浪CMS一直强化各类安全与客户资产保护,并进行严密测试与相关实验,从而被包括政府、军工、500强、出版、传媒、水电等企业采用,赢得客户的高度赞同。


iconfont-anquanzhongxin.png

先来一段产品介绍:

Appscan是web应用程序渗透测试舞台上使用最广泛的工具之一.它是一个桌面应用程序,它有助于专业安全人员进行Web应用程序自动化脆弱性评估。本文侧重于配置和使用Appcan,分析扫描结果将在下一篇文章中讨论.

Appscan的主要特点:

Appscan 8.5标准版有很多新的功能,其中大部分将在我下面的概要中涵盖:

Flash支持: 8.0 Appscan相对早期的版本增加了flash支持功能,它可以探索和测试基于Adobe的Flex框架的应用程序,也支持AMF协议。

Glass box testing::Glass box testing是Appscan中引入的一个新的功能.这个过程中,安装一个代理服务器,这有助于发现隐藏的URL和其它的问题。

Web服务扫描:Web服务扫描是Appscan中具有有效自动化支持的一个扫描功能。

Java脚本安全分析:Appscan中介绍了JavaScript安全性分析,分析抓取html页面漏洞,并允许用户专注于不同的客户端问题和DOM(文档对象模型)为基础的XSS问题。

报告:根据你的要求,可以生成所需格式的报告。

修复支持:对于确定的漏洞,程序提供了相关的漏洞描述和修复方案.

可定制的扫描策略:Appscan配备一套自定义的扫描策略,你可以定制适合你需要的扫描策略。

工具支持:它有像认证测试,令牌分析器和HTTP请求编辑器等,方便手动测试漏洞.

Ajax和Dojo框架的支持。
现在,让我们继续学习更多有关安装和使用Rati??onal AppScan扫描Web应用程序的过程。

Appscan的安装:

要运行Appscan的系统至少需要2GB的RAM,同时确保安装了.net framwork和Adobe flash来执行扫描过程中的Flash内容。在进一步之前,需要注意的是,这种自动扫描器会发送数据到服务器,有可能在扫描过程中让服务器超过负荷,所以它可能会删除服务器上的数据,添加新记录甚至让服务器崩溃.因此扫描之前最好备份所有的数据.

安装Appscan之前,关闭所有打开的应用程序。点击安装文件,会出现安装向导,如果你还没有安装.Net framwork,Appscan安装过程会自动安装,并需要重新启动。按照向导的指示,可以很容易的完成安装.如果你使用的是默认许可,你将只允许扫描appscan中的测试网站。要扫描自己的网站,需要付费购买许可版本

 

IBM官方的介绍:

Screenshot of Security AppScan

IBM®Security  AppScan         的®是一款领先的应用安全性测试套件,旨在整个软件开发生命周期中管理漏洞测试。 IBM Security AppScan         自动进行漏洞评估、扫描和检测所有常见的 Web 应用程序漏洞,包括 SQL 注入,跨站脚本,缓冲区溢出和 Flash/ Flex 应用程序和 Web2.0 的漏洞扫描。

AppScan 的的特点和优点包括以下内容:

1)扫描和测试,适用范围广的应用安全漏洞 2)能够扫描复杂的 Web 应用 3)高精度,先进的检测功能,包括动态和创新的混合动力分析玻璃盒测试(运行时分析),静态污点分析 4)快速修复,可优先成果,修复成建议 5)增强您的见解组织遵守政府和行业任务,促进了 40 项合规报告。

Web 应用程序的支持,包括:Adobe 的 Flash,JavaScript,Ajax 和简单对象访问协议(SOAP)的 Web 服务。

(多不敷叙,详情去ibm.com检索) 


如果扫描出来的结果如下所示,则是有三个危险:

a.png


而本次扫描以demo.zoomla.cn为实际测试,其截图如下: 


1.png

3.png

4.png

5.png

6.png

7.png

 

终极测试成果全面达成,优酷视频来说明:




本文责任编辑: 本站编辑  加入会员收藏夹 点此参与评论>>

对[IBM Rational AppScan上的逐浪CMS安全测试]这条信息感兴趣吗?您还可以点击联系我们以确定进一步意向。


当前网址: 复制网址


上一篇文章:新工具新视野-逐浪CMS全面转至Visual Studio 2010平台开发 下一篇文章:基于逐浪CMS的自适应WEB体验设计滥觞

+什么是CMS

CMS(Content Management System)是网站内容管理系统简称, 互联网上每个网站(无论大小门户)其后台都由专业CMS系统支撑- Zoomla!逐浪CMS作为国内高端CMS与WEB应用典范,首创第3代CMS理念,专注底层核心技术研发,以云技术、创新精神构建行业新成就,提供从网站内核到电商、办公、移动一体化的开发体验!

7×24小时服务热线 021-50391046 技术支持:13177777714
©Copyright 2003- 逐浪软件z01.com版权所有 All rights reserved
中华人民共和国网警备案号:3601040103 经营许可证号:工商3601002021063 沪ICP备09077823号
本网站基于®Zoomla!逐浪CMS内核开发

ISO9001国际认证企业 CSDN外包TOP资质 鉴赏MTV电广视告 7×24小时全天候贴心服务 社会征信网 网络110