上次分享的Awvs,部分人绝对不太习惯web端的操作,这次分享一个windows桌面版本的渗透商用测试工具AppScan
安装方法
运行安装文件
按需设置你的安装路径
破解步骤
将rcl_rational.dll复制到安装目录覆盖原有文件
然后运行AppScan,点击许可证
点击切换到IBM许可证
点击打开AppScan License Manager…
导入AppScanStandard.txt文件,激活许可证
这里可以看到许可证已经永久激活,然后我们可以开始使用工具欢乐的日站了
扫描教程
新建一个扫描web应用程序的项目
填写你要扫描的站点,我这里填写我维护的客户网站地址
这里可以如果不涉及到登录的情况,你可以直接点下一步
如果涉及到登录,你可以在这里点击记录模拟登录过程,当然一般我们还是建议在cookies里直接设置比较好,这个后面再说
这里选择缺省值就行了,它不会扫描端口和进行入侵行为
如果碰到有cc攻击拦截的站点,或者有基础waf的,建议你把扫描速度调低,我们这里是授权进行测试,因此调快速也可以
点击完成
然后保存好项目就可以开始自动化扫描了
在扫描过程中,你可以通过右下角查看实时的不同等级威胁数量统计
在右上角切换成问题,可以更好的定位到我们服务器中存在的问题
点击展开问题,可以看到每一个存在问题的详细情况,AppScan这里做的比较好的是把测试的响应结果也做成了可视化的界面,方便我们去阅读
点击请求/响应可以看到自动化工具在渗透测试中修改了哪些内容
如果你不相信它的测试结果,你可以点击在浏览器中显示自己去试下
发现确实存在XSS的漏洞
报告导出
生成报告
使用AppScan也可以像之前介绍的Awvs一样生成行业报告
你可以按照行业标准
同时,在布局上可以进行细微调整,比方说把HCL的logo换成猪头logo
然后导出PDF就好了
报告预览
一般行业报告都会有这种条例的以及固定的标准模板,比方说遵循XXX行业标准,行业标准有XXXX
然后会有专门的问题汇总
以及按照不同Owasp分类下的问题进行汇总
小技巧
设置cookies
如果你的测试中希望使用某个用户的登陆状态下进行测试,需要进行扫描配置
填写你要测试的Cookie名
请登录后发表评论
注册