久久精品国产亚洲AV嫖农村妇女 ,亚洲精品无码乱码成人,亚洲最大福利视频

blog已經(jīng)轉(zhuǎn)移至github,大家請(qǐng)?jiān)L問(wèn) http://qaseven.github.io/

Appscan安全漏洞掃描使用

　這里主要分享如何使用AppScan對(duì)一大項(xiàng)目的部分功能進(jìn)行安全掃描。

　　------------------------------------------------------------------------

　　其實(shí)，對(duì)于安全方面的測(cè)試知道的甚少。因?yàn)槟枪久總€(gè)月要求對(duì)產(chǎn)品進(jìn)行安全掃描。掌握了一人點(diǎn)使用技巧，所以拿來(lái)與大家分享。

　　因?yàn)楫a(chǎn)品比較大，功能模塊也非常之多，我們不可能對(duì)整個(gè)產(chǎn)品進(jìn)行掃描。再一個(gè)每個(gè)測(cè)試員負(fù)責(zé)測(cè)試的模塊不同。我們只需要對(duì)自己負(fù)責(zé)測(cè)試的模塊掃描即可。

　　掃描工具自然是IBM AppScan ，功能強(qiáng)大，使用簡(jiǎn)單。略懂安全測(cè)試的都使用或聽(tīng)說(shuō)過(guò)這個(gè)工具。這里就不過(guò)多介紹了。

　　抽取被掃描功能的鏈接

　　首先要抽取掃描的鏈接。fiddler工具來(lái)抽取。打開(kāi)系統(tǒng)，找到你需要做掃描的功能模塊，開(kāi)啟fiddler攔截功能，然后對(duì)你所要測(cè)試的功能做各種操作，fiddler就會(huì)記錄的所有訪(fǎng)問(wèn)的鏈接，因?yàn)樯婕暗诫[私，所以下圖會(huì)比較模糊。

　　其實(shí)，請(qǐng)求中有非常多的鏈接，但許多是一樣，我們只要把不一樣的全找出來(lái)就可以了。這里你需要知道每個(gè)連接的情況。也有一些外部鏈接是不需要抽取的。

aaa.bbb.cn

g2.aaa.bbb.cn

g1.aaa.bbb.cn

webapp.aaa.bbb.cn

uec.aaa.bbb.cn

addrapi.aaa.bbb.cn

smsrebuild1.aaa.bbb.cn

disk2.aaa.bbb.cn

mw.aaa.bbb.cn

scriptlog.aaa.bbb.cn

images.139cm.com

appmail.aaa.bbb.cn

gfile5-disk.aaa.bbb.cn

gfile8-disk.aaa.bbb.cn

gfile7-disk.aaa.bbb.cn

　　把所有鏈接抽取出來(lái)之后就沒(méi)幾個(gè)了。去掉重復(fù)的就沒(méi)多少了。

　　完成配置向?qū)?/div>

　　下面打開(kāi)appscan創(chuàng)建掃描。

　　選擇常規(guī)掃描，進(jìn)入配置向?qū)?。點(diǎn)擊下一步，進(jìn)入配置

　　上面這一步是重點(diǎn)，起始URL填寫(xiě)你要掃描的網(wǎng)址。其它服務(wù)器和域：這里把抽取的所有鏈接都添加進(jìn)去。包括后網(wǎng)站的首頁(yè)鏈接。點(diǎn)擊下一步。

　　這里提供三種方式來(lái)記錄帳號(hào)，不多介紹。第一種和第三種最常用。

　　然后點(diǎn)擊幾個(gè)下一步后出現(xiàn)后面的選項(xiàng)，選擇第三個(gè)或第四項(xiàng)完成掃描的配置。

　錄制掃描腳本

　　完成配置后，下面就要開(kāi)始錄制腳本了呢。

　　點(diǎn)擊工具欄上的探索按鈕，appscan會(huì)打開(kāi)自帶瀏覽器，輸入系統(tǒng)用戶(hù)名密碼登錄系統(tǒng)，對(duì)你要掃描的模塊功能進(jìn)行操作。

　　上圖為我打開(kāi)的appscan自帶瀏覽器（因?yàn)槲逸斎氲木W(wǎng)址有誤，所以無(wú)法訪(fǎng)問(wèn)）。操作完成之后，點(diǎn)擊暫停按鈕，關(guān)閉瀏覽器窗口即可。

　　關(guān)閉瀏覽器后，上面的窗口中會(huì)記錄所有你訪(fǎng)問(wèn)的連接，點(diǎn)擊確定。所有的信息就會(huì)記錄下來(lái)了，下面要做的點(diǎn)擊點(diǎn)擊工具欄上的掃描按鈕開(kāi)始掃描。我們一般晚上下班進(jìn)行，第二天早上來(lái)看掃描結(jié)果就可以了。

　　------------------------------------

　　本來(lái)到這里就可以結(jié)束了，我再多說(shuō)個(gè)設(shè)置。呵呵！在手動(dòng)探索的時(shí)候，因?yàn)榇蜷_(kāi)的瀏覽器是appscan自帶的，可能會(huì)存在兼容性問(wèn)題，有些頁(yè)面無(wú)法正常打開(kāi)。那么是否可以用我們電腦上的瀏覽器（IE 、火狐、谷歌）來(lái)進(jìn)行錄制呢了。當(dāng)然是可以的。

　　菜單欄--工具---選項(xiàng)----高級(jí)

　　這個(gè)一定要大圖，我們只需要修改openExternalBrowser 選項(xiàng)“值”的參數(shù)就可以了（1=IE、2=firefox、3=chrome）。

　　安全測(cè)試挺有前途的，國(guó)內(nèi)起步很晚，這兩年才逐漸受到重視。公司也越來(lái)越重視安全。

posted on 2014-08-13 09:59 順其自然EVO 閱讀(1170) 評(píng)論(0) 編輯收藏所屬分類(lèi): 測(cè)試學(xué)習(xí)專(zhuān)欄

新用戶(hù)注冊(cè) 刷新評(píng)論列表


只有注冊(cè)用戶(hù)登錄后才能發(fā)表評(píng)論。




網(wǎng)站導(dǎo)航: 博客園 IT新聞 Chat2DB C++博客博問(wèn) 管理
相關(guān)文章: 如何進(jìn)行Web服務(wù)的性能測(cè)試？利用drozer進(jìn)行Android滲透測(cè)試 Appium Android Bootstrap源碼分析之命令解析執(zhí)行 Fliptest—iOS 的應(yīng)用A/B測(cè)試框架 iOS功能測(cè)試工具 Frank iOS單元測(cè)試框架Kiwi for iOS Appium Android Bootstrap之控件AndroidElement 移動(dòng)應(yīng)用測(cè)試框架—Calabash Android 簡(jiǎn)介 Appium Server源碼分析之作為Bootstrap客戶(hù)端移植MonkeyRunner的圖片對(duì)比功能實(shí)現(xiàn)-Appium篇

2014年8月

日

一

二

三

四

五

六

導(dǎo)航

統(tǒng)計(jì)

隨筆 - 3936
文章 - 404
評(píng)論 - 179
引用 - 0

常用鏈接

留言簿(55)

隨筆分類(lèi)

隨筆檔案

文章分類(lèi)

文章檔案

搜索

閱讀排行榜

<center id="k4cuc"></center>

qileilove