发布时间:2023/04/26 14:30:51
品牌型号:联想ThinkPad E14
系统:Windows 10家庭版
软件版本:AppScan
网站的安全测试有很多种,动态安全测试是时下常用的测试方式之一。所谓的动态安全测试是一种模拟真实攻击的测试方式,这种攻击方式又被称为黑盒测试,或DAST安全测试。下面我们就来介绍动态应用安全测试工具,以及动态安全测试怎么做。
一、动态应用安全测试工具
动态应用安全测试工具有很多,这里我们将介绍我自己正在使用的AppScan。
DAST安全测试有手动安全测试,也有自动的安全测试,AppScan则是一种可以进行自动安全的工具。通过【扫描配置】,我们不仅可以编辑【探索】方案,同时还可以在【测试】内选择安全漏洞类型,开启测试后,软件会根据在【测试】内选择的安全漏洞类型对网站进行工具,测试完毕后,软件会给出详细的测试报告。
下面我们来看动态安全测试如何做吧!
二、动态安全测试怎么做
使用AppScan对网站进行安全测试的配置方式,可以分为三个步骤,分别是:(1)探索;(2)连接;(3)测试。
1.探索
AppScan的【探索】,便是DAST安全测试的爬虫部分,这里我们需要在【URL和服务器】内填写目标网站;然后在【登录管理】位置填写管理员账户及密码;如果站点中有路径和文件不需要探索,那么我们可以在【排除路径和文件】位置进行规避(如图3)。
通过对【探索】部分的配置,便完成了爬虫的设置。
2.连接
在【连接】部分,我们可以编辑【线程】,线程越多表示测试的速度越快。同时,我们还可使用代理,以及选择不同的ip地址和端口。
3.测试
通过AppScan【测试】位置,我们可以在【测试策略】内选择模拟攻击的方式,如LDAP注入等;同时,在【特权升级】位置,我们还可以设置对比账户,以查看网站是否存在用户可以越权访问的情况。
待以上配置设置完毕后,开始测试即可。
三、总结
以上便是,动态应用安全测试工具,动态安全测试怎么做的内容。这里我们介绍了可以进行动态应用安全测试的工具——AppScan。在AppScan制作动态安全测试时,我们先要对【探索】进行配置,然后再选择测试策略,最后开启测试即可。更多有关AppScan使用技巧,尽在AppScan中文网站!
