发布时间:2023/02/08 10:30:09
品牌型号:联想ThinkPad E14
系统:Windows 10家庭版
软件版本:AppScan
web应用安全测试工具是一种针对web应用程序是否存在安全漏洞进行测试的工具,web应用安全测试工具有哪些类型?web应用安全测试工具有很多类型,有些测试工具是以浏览器插件存在的,有些则是以客户端的形态存在。web应用安全测试工具有哪些功能?首先,web应用安全测试工具可以对站点进行测试,web应用安全测试工具在对站点测试完成后,会给出详细的漏洞解决方案。下面我们来看详细介绍吧!
一、web应用安全测试工具有哪些类型
这里我们将web应用安全测试工具分为两类,一类是浏览器插件;另一类是客户端。
1.浏览器插件
浏览器插件web应用安全测试工具相对客户端而言下载安装比较简单,但是浏览器插件在功能性上不如客户端的web应用安全测试工具,主要是可以测试的漏洞类型相对单一,如火狐浏览器中的Exploit-Me,它虽然能进行站点进行扫描,但仅能扫描两种漏洞类型,一种是XSS漏洞,另一种是SQL注入漏洞。
2.客户端
客户端的web应用安全测试工具则有非常多,我自己常用的有两款,分别是AppScan和Wapiti。
对比这两款web应用安全测试工具,我个人更推荐使用AppScan。因为,虽然Wapiti也可以像AppScan一样进行黑盒测试,但Wapiti在操作过程中需要输入命令才能进行,AppScan在配置完成后都是自动完成的。
总的来说,对于单一的安全漏洞,我们可以使用浏览器插件对站点进行扫描。如果是对站点中多项内容进行扫描测试,建议使用操作简单的AppScan。
二、web应用安全测试工具有哪些功能
这里我们以AppScan为例简单介绍web应用安全测试工具有哪些功能。
1.可测试的漏洞类型
在AppScan中,对web应用进行安全测试有两种途径,一种是【完全扫描】;另一种是【扫描web应用程序】,下面我们来看这两种扫描模式分别可以扫描哪些漏洞吧!
(1)扫描web应用程序
在【测试策略】界面中,我们可以直接选择【预定义策略】,这里的类型包括【侵入式】、【仅第三方】、【仅基础结构】、【仅应用程序】等等,直接选择即可使用。
在图3界面中单击左下角【完全扫描配置】,在此便可有针对性的选择安全漏洞的类型。
(2)完全扫描配置
在图4界面我们直接选择漏洞类型即可,如SQL注入、SSI注入等等,选择即可。
选择完安全漏洞类型后,我们便可对站点进行扫描,扫描结束后软件会给予扫描日志和漏洞修复方案。
2.修复方案
当扫描完成后,可以在AppScan中查看详细漏洞介绍,同时软件会给出详细的漏洞解决方案。
三、总结
以上便是,web应用安全测试工具有哪些类型,web应用安全测试工具有哪些功能的内容。关于web应用安全测试工具的类型这里我们介绍了两种,一种是浏览器插件;另一种是客户端。web应用安全测试工具的功能主要有两个,一是扫描漏洞;二是给出详细的漏洞解决方案。更多关于AppScan使用技巧,尽在AppScan中文网站!
