发布时间:2022-08-23 15: 55: 33
品牌型号:华硕台式电脑
系统: windows 10 正式版
软件版本:HCL AppScan Standard
HCL AppScan Standard简称appscan,是IBM公司推出的一款功能十分强大的安全测试工具软件,支持windows操作系统,可以对网站应用进行自动化的安全扫描测试。那么appscan的工作原理是什么呢?今天就来给大家分享appscan的使用教程和工作原理。
appscan工作原理简单来说就是模拟攻击测试对象,从结果返回中得到相应分析报告并给出相应的修复建议。
举个简单的例子,网站上的网页其实都是一行行的代码编写的,除了平时看到的前端的页面以外,本质的内容是数据的交换和计算,网站用户在浏览和使用网站应用的时候,实际的底层逻辑就信息的交互,用户往网站服务器发送请求指令,服务器根据代码赋予的规则进行计算和验证从而给出反馈,而页面代码的规则有可能存在一些漏洞,从而带来一些风险。而appscan的工作就是模拟各种攻击手段,然后从服务器给出反馈中分析出相应的漏洞。
appscan的工作过程大致可以分为以下几个阶段:
阶段一、爬行网站,也就访问网站的所有页面,从而确定网站的一个整体架构,这里的架构指的是所有代码架构,包括前端面的页面代码和后台的页面代码。
阶段二、得到网站架构后,对网站发起访问请求,并使用appscan的规则库里的规则对测试对象发起模拟攻击。这个测试并不需要用到服务器的权限,也就是所谓的“黑盒扫描”。
阶段三、对测试对象发起攻击后,服务器会给出相应的反馈(或者叫返回),得到返回数据后,appscan会对攻击后的反馈数据与正常的访问的反馈数据进行对比,再根据自身的规则库存进行对比,从而得分析是否存在安全漏洞。并从规则库中调出相应的修改建议。
虽然appscan的工作原理简单的来说只有以上三个步骤,实际对于每个项目来说,要面临很多复杂的计算和测试,这里就不详细展开说明了。
不得不说appscan的强大除了扫描方式和算法外,更强大的就是appscan的规则库,规则库中的数据也随着技术发展不断的在更新。所以在使用appscan时尽量先将软件更新到最新的版本。
appscan的工作量大部分是依托于appscan的工程师们的努力,对于appscan的用户来说,工作量并不大,接下就给大家简单分享一下appscan的使用教程。
步骤一、双击打开appscan,点击文件菜单下的新建命令。
步骤二、在弹出的对话框中选择测试对象的类型,这里以扫描web应用程序为例。
步骤三、输入扫描对象的起始网址或者IP地址。
步骤四、设置登录管理,有的网页需要输入相应的帐户密码才能进行访问,可以根据测试对象及要求来选择登录方式。
步骤五、选择测试策略,这里需要根据地需求选择相应的测试策略,appscan提供许多的策略模板供选择,同时也可以使用自定义的模板。
步骤六、根据情况选择测试优化,不同的工作内容可以选择不测试方案,这里的优化提可以在速度和问题覆盖范围来平衡测试的时间。
步骤七、设置启动方式。
步骤八、等待扫描结束,点击工具栏的报告按钮,根据实际需求导出不同的分析报告。
本文为大家简单分享了appscan的工作原理和appscan使用教程的一些基本操作,希望对大家有所帮助。
展开阅读全文
︾
