发布时间:2022/08/23 15:58:48
品牌型号:华硕台式电脑
系统: windows 10 正式版
软件版本:HCL AppScan Standard
HCL AppScan Standard是IBM公司针对网站应用安全漏洞推出的检测工具,功能强大而且十分齐全,可以对网站的各种安全问题进行扫描,同时在生成的报告中详细提供漏洞类型,漏洞原理以及修复建议等,是站长们非常得力的助手,那大家知道appscan怎么扫描https网站吗?
首先先来了解一下appscan的工作原理:
appscan的工作原理是通过http request和http response的内容,扫描出网站应用的整体结构。然后对比自身的漏洞扫描规则库,找到http response和正常request的响应之间的差异,并分析差异是否符合其规则库里的规则设定。从而分析网站是否丰在安全漏洞。当appscan判定存在漏洞时,会给出漏洞原理的说明以及相应的修复建议。
了解完其工作原理后再来了解一下appscan的测试的几种方式:
1、动态分析,也就是常说的“黑盒扫描”,也是appscan主要的扫描方式,指的是通过远程识别服务,扫描并分析服务是否存在漏洞,以及服务运行的响应效率。
2、静态分析,也称“白盒扫描”,是指在具有主机操作权限的情况下进行漏洞扫描,一般适用于完整的网站页面中分析javascrip代码的技术,这种分析技术得到的检测报告会更准确,但无法做为外部攻击测试的数据依据,因为外部攻击会受到各种因素的干扰,同时大多数情况很难拿到主机操作权限的。
3、交互分析(glass box scan),appscan的黑盒扫描可以与网站驻留的glass-box代理程序进行交互,而交互分析相较于单纯的黑盒扫描能够得到更准确的报告。
最后给大家分享一下appscan扫描网站的具体步骤:
步骤一、双击打开appscan的文件菜单下的新建命令。
步骤二、在弹出的对话框中选择Web应用程序进入配置向导界面。
步骤三、在地址栏中输入被检测的网址或者IP地址,然后点击下一步。
步骤四、根据实际需求选择登入方法,这里有四个选项记录、自动、提示和无。
1、记录指的是使用appscan内置浏览器进行登入并记录账号密码;
2、自动指的是自动使用被检测网站的账户密码;
3、提示是指的是在扫描过程中需要登入时提示输入登入信息;
4、无是指的是不需要输入登入信息。
步骤五、根据实际需求选择操作策略,一般情况下选择默认的“缺省值”就可以了。然后点击下一步,当然也可以选择其它策略文件。
步骤六、根据需求,设置测试优化的速度,这个会根据网站的不同而产生一些差异。再点击下一步。
步骤七、根据需求设置启动模式,点击完成。
步骤八、等待扫描结束后就可以查看扫描结果。然后选择仅测试,开始攻击测试。
步骤九、查看测试结果报告和修复建议等。
步骤十、点击报告选项,根据需求导出不同的安全报告并保存。
本文为大家分享appscan怎么扫描https网站的原理、方式以及具体的操作步骤,希望对大家有所帮助。
