AppScan教程:Web应用安全扫描与配置详解

需积分: 39 57 下载量 167 浏览量 更新于2024-08-08 收藏 2.32MB PDF 举报
"德米特dm3系列伺服驱动器应用手册" 本文主要介绍IBM的Rational AppScan工具的使用,特别是在扫描过程中的一些配置设置。AppScan是一款强大的Web应用安全测试工具,能够检测并报告Web应用程序和Web服务的安全漏洞。本教程以AppScan Standard Edition为例,阐述了扫描的两个关键阶段——探索和测试。 探索阶段是AppScan自动遍历网站链接,建立层次结构的过程。它通过发送请求并分析响应来识别漏洞的可能性,例如,通过尝试绕过登录验证来检测注入攻击。在这个阶段,AppScan不执行实际的攻击,仅用于确定测试范围和网站结构。 测试阶段是AppScan对发现的漏洞实施实际攻击,以验证其存在性。它使用有效载荷来测试探索阶段识别的安全问题,并根据风险级别对它们进行排序。在此阶段,可能会发现新的链接,导致AppScan进行另一轮扫描,直到没有新的链接可测试。用户可以在设置中配置扫描次数。 在扫描过程中,有以下重要的配置设置: 1. Starting URL(起始网址):定义扫描的起点,通常为网站的登录页面。用户可以选择http://demo.testfire.NET作为示例进行测试。若想限制扫描范围仅限于某个目录,可以勾选相关选项。 2. Case Sensitive Path(大小写的选择):如果服务器URL对大小写敏感(例如Linux/Unix),则需启用此选项。Windows系统通常不区分大小写。 安装与破解部分未在给定的标签和描述中提及,但根据内容,提到了AppScan 9.0版本的安装环境要求,包括处理器、内存和磁盘空间的最小需求。建议的配置为Pentium 4 2.4GHz处理器、2GB RAM和30GB硬盘空间。安装时,应确保系统盘(通常是C盘)有至少10GB的剩余空间,用户文件可以考虑存放在其他盘。 AppScan是一个强大的Web应用安全扫描工具,通过精心配置,能有效地帮助用户发现并解决潜在的安全问题。其扫描过程包括无害的探索和实际的测试阶段,确保全面覆盖应用的安全检查。同时,了解并满足其硬件需求对于保证扫描效率至关重要。