本文共 655 字,大约阅读时间需要 2 分钟。
自动化扫描工具只能检测到部分常见的漏洞(如跨站脚本、SQL注入等),不是针对用户代码的,也就是说不能理解业务逻辑,无法对这些漏洞做进一步业务上的判断。往往最严重的安全问题并不是常见的漏洞,而是通过这些漏洞针对业务逻辑和应用的攻击。
Web目前分为应用程序和Web服务两部分。应用程序指通常意义上的Web应用,而Web服务是一种面向服务的架构的技术,通过标准的Web协议(如HTTP、XML、SOAP、WSDL)提供服务。
利用自动化的Web安全扫描工具AppScan进行扫描,以发现Web应用中存在的常见漏洞
1、测试条件
2、执行步骤
1、双击运行AppScan,选择file—new新建扫描,选择扫描模板default2、弹出扫描配置对话框,选择扫描类型,默认为Web Application Scan,点击next3、在Starting URL中填入需扫描的目标服务器域名或IP地址,其他配置不需修改,点击next4、选择No Login,点击next5、不需修改任何参数,点击next6、不需修改参数,选择Start a full automatic scan,点击finish完成配置,开始扫描7、扫描完成,保存扫描结果,并对结果进行分析
AppScan Web Service:
1、双击运行AppScan,选择file—new新建扫描&#
转载地址:http://awraf.baihongyu.com/