Web網(wǎng)站漏洞掃描器(IBM Rational AppScan Standard) 中文版

IBM Rational AppScan Standard是一款專業(yè)的Web網(wǎng)站漏洞掃描器，功能極其強(qiáng)大，AppScan是IBM公司開發(fā)的一款安全掃描軟件，Appscan是web應(yīng)用程序滲透測試舞臺上使用最廣泛的工具之一.它是一個桌面應(yīng)用程序，它有助于專業(yè)安全人員進(jìn)行Web應(yīng)用程序自動化脆弱性評估。有需要這款軟件的小伙伴歡迎來西西下載。

軟件簡介：

網(wǎng)絡(luò)掃描是滲透測試的第一步，其目的在于發(fā)現(xiàn)目標(biāo)的操作系統(tǒng)類型、開放端口等基本信息，為后面的掃描工作做基礎(chǔ)。事實上，利用操作系統(tǒng)本身的一些命令如ping、telnet、nslookup等也可以對目標(biāo)的信息進(jìn)行判斷，但是利用專業(yè)的工具可以給出更加全面和準(zhǔn)確的判斷。IBM AppScan該產(chǎn)品是一個領(lǐng)先的 Web 應(yīng)用安全測試工具，曾以 Watchfire AppScan 的名稱享譽(yù)業(yè)界。Rational AppScan 可自動化 Web 應(yīng)用的安全漏洞評估工作，能掃描和檢測所有常見的 Web 應(yīng)用安全漏洞，例如 SQL 注入（SQL-injection）、跨站點(diǎn)腳本攻擊（cross-site scripting）、緩沖區(qū)溢出（buffer overflow）及最新的 Flash/Flex 應(yīng)用及 Web 2.0 應(yīng)用曝露等方面安全漏洞的掃描。

軟件主要特點(diǎn)：

Appscan 標(biāo)準(zhǔn)版有很多新的功能，其中大部分將在我下面的概要中涵蓋：

Flash支持： 8.0 Appscan相對早期的版本增加了flash支持功能，它可以探索和測試基于Adobe的Flex框架的應(yīng)用程序，也支持AMF協(xié)議。

Glass box testing:：Glass box testing是Appscan中引入的一個新的功能.這個過程中，安裝一個代理服務(wù)器,這有助于發(fā)現(xiàn)隱藏的URL和其它的問題。

Web服務(wù)掃描：Web服務(wù)掃描是Appscan中具有有效自動化支持的一個掃描功能。

Java腳本安全分析：Appscan中介紹了JavaScript安全性分析,分析抓取html頁面漏洞，并允許用戶專注于不同的客戶端問題和DOM（文檔對象模型）為基礎(chǔ)的XSS問題。

報告：根據(jù)你的要求，可以生成所需格式的報告。

修復(fù)支持：對于確定的漏洞,程序提供了相關(guān)的漏洞描述和修復(fù)方案.

可定制的掃描策略：Appscan配備一套自定義的掃描策略,你可以定制適合你需要的掃描策略。

工具支持：它有像認(rèn)證測試，令牌分析器和HTTP請求編輯器等,方便手動測試漏洞.

Ajax和Dojo框架的支持。

軟件特色：

1.測試階段

在第二個階段，AppScan 將發(fā)送它在探索階段創(chuàng)建的數(shù)千個定制測試請求。 它使用定制驗證規(guī)則記錄和分析應(yīng)用程序?qū)γ總�測試的響應(yīng)。 這些規(guī)則既可識別應(yīng)用程序內(nèi)的安全問題，又可排列其安全風(fēng)險級別。

2.無 Web 服務(wù)的站點(diǎn)

如果是沒有 Web 服務(wù)的站點(diǎn)，那么為 AppScan? 提供起始 URL 和登錄認(rèn)證憑證可能足以使其能夠測試站點(diǎn)。如有必要，還可以通過 AppScan 手動搜尋站點(diǎn)，以便能夠訪問僅通過特定用戶輸入才能到達(dá)的區(qū)域。

3.Web服務(wù)

為了能夠有效掃描 Web Service，AppScan 安裝包含一項工具，用戶通過它可查看 Web 服務(wù)中整合的各種方法，處理輸入數(shù)據(jù)以及檢查來自服務(wù)的反饋。

您首先需要為 AppScan 提供服務(wù)的 URL。 集成的“通用服務(wù)客戶機(jī) (GSC)”使用服務(wù)的 WSDL 文件以樹格式顯示可用的單獨(dú)方法，并且會創(chuàng)建用于向服務(wù)發(fā)送請求的用戶友好 GUI。您可以使用此界面輸入?yún)��?shù)和查看結(jié)果。此過程由 AppScan 進(jìn)行“記錄”，并且用于在 AppScan 掃描站點(diǎn)時創(chuàng)建針對服務(wù)的測試。

4.需要用戶交互

這些是由于需要用戶提供 AppScan所無法提供的輸入而未發(fā)送的請求。您可以配置 AppScan 以提供輸入；請參閱“自動表單填充”視圖。 如果您遺漏了某些應(yīng)用程序參數(shù)，或選擇不使用自動表單填充器，那么 AppScan 將會提供交互式 URL 列表供您復(fù)審。

功能介紹：

1.Flash支持

Appscan相對早期的版本增加了flash支持功能，它可以探索和測試基于Adobe的Flex框架的應(yīng)用程序，也支持AMF協(xié)議。

2.Glass box testing

Glass box testing是Appscan中引入的一個新的功能.這個過程中，安裝一個代理服務(wù)器,這有助于發(fā)現(xiàn)隱藏的URL和其它的問題。

3.Web服務(wù)掃描

Web服務(wù)掃描是Appscan中具有有效自動化支持的一個掃描功能。

4.Java腳本安全分析

Appscan中介紹了JavaScript安全性分析,分析抓取html頁面漏洞，并允許用戶專注于不同的客戶端問題和DOM(文檔對象模型)為基礎(chǔ)的XSS問題。

5.報告

根據(jù)你的要求，可以生成所需格式的報告。

6.修復(fù)支持

對于確定的漏洞,程序提供了相關(guān)的漏洞描述和修復(fù)方案.

7.可定制的掃描策略

Appscan配備一套自定義的掃描策略,你可以定制適合你需要的掃描策略。

8.工具支持

它有像認(rèn)證測試，令牌分析器和HTTP請求編輯器等,方便手動測試漏洞.