使用 AppScan 进行扫描
AppScan扫描教程
AppScan扫描教程
1.打开appscan,创建新的扫描
2.选择常规扫描,下⾯就按照图⽰做就好了
3.选择⼀种策略,下⼀步
测试策略说明:
①缺省值:包含多有测试,但不包含侵⼊式和端⼝侦听器
②仅应⽤程序:包含所有应⽤程序级别的测试,但不包含侵⼊式和端⼝侦听器
③仅基础结构:包含所有基础结构级别的测试,但不包含侵⼊式和端⼝侦听器
④侵⼊式:包含所有侵⼊式测试(可能影响服务器稳定性的测试)
⑤完成:包含所有的AppScan测试
⑥关键的少数:包含⼀些成功可能性较⾼的测试精选,在时间有限时对站点评估可能有⽤
⑦开发者精要:包含⼀些成功可能性极⾼的应⽤程序测试的精选,在时间有限时对站点评估可能有⽤
4.启动全⾯⾃动扫描
5. 选择是,选择⼀个保存的路径
6.开始扫描中
7.扫描完成,获得扫描结果(⾃⼰做的咋没有呢,摘抄⼀下⽹友的截图)
8.在扫描菜单栏中选择扫描配置,弹出扫描配置对话框,
在环境定义⾥选择测试系统的需要的配置,点击应⽤当前结果
点击启动,关闭,确定
9.进⾏继续完全扫描
10.等待扫描完成,查看扫描出的漏洞,修订的意见(这⾥扫描好慢啊,就先截个图吧)。
Appscan使用之扫描结果分析 -
本文将介绍针对扫描结果的分析,也是一次完整的渗透测试必须经历的环节。
扫描开始的时候,AppScan会询问是否保存扫描结果,同时下方有进度条显示扫描的进度。
在扫描过程中,如果遇到任何连接问题或者其他任何问题,可以暂停扫描并在稍后继续进行。
如之前讲的扫描包括两个阶段-探索、测试。
AppScan中的Scan Expert和HP WebInspect中的建议选项卡类似。
Scan Expert分析扫描的配置,然后针对变化给出配置建议,目的是为了更好的执行一次扫描,可以选择忽略或者执行这些建议。
AppScan的窗口大概分三个模块。
Application Links(应用链接),Security Issues(安全问题),and Analysis(分析)如下图所示:Application Links Pane(应用程序结构)这一块主要显示网站的层次结构,基于URL和基于内容形式的文件夹和文件等都会在这里显示,在旁边的括号里显示的数字代表存在的漏洞或者安全问题。
通过右键单击文件夹或者URL可以选择是否忽略扫描此节点。
Dashboard窗格会根据漏洞严重程序,高中低列出网站存在的问题情况,一次Dashboard将反映一个应用程序的整体实力。
Security Issues Pane(安全问题)这个窗格主要显示应用程序中存在的漏洞的详细信息。
针对每一个漏洞,列出了具体的参数。
通过展开树形结构可以看到一个特定漏洞的具体情况,如下所示:根据扫描的配置,AppScan会针对各种诸如SQL注入的关键问题,以及像邮件地址模式发现等低危害的漏洞进行扫描并标识出来,因为扫描策略选择了默认,AppScan会展示出各种问题的扫描情况。
右键单击某个特定的漏洞可以改变漏洞的严重等级为非脆弱,甚至可以删除。
Analysis Pane(分析)选择Security Issues窗格中的一个特定漏洞或者安全问题,会在Analysis窗格中看到针对此漏洞或者安全问题的四个方面:Issue information(问题信息),Advisory(咨询)、Fix Recommendation(修复建议), Request/Response(请求/相应).Issue information(安全问题信息)Issue information 标签下给出了选定的漏洞的详细信息,显示具体的URL和与之相关的安全风险。
如何有效的使用AppScan扫描大型网站
转载]如何更有效使用Rational AppScan 扫描大型网站Rational AppScan(简称AppScan)其实是一个产品家族,包括众多的应用安全扫描产品,从开发阶段的源代码扫描的AppScan source edition,到针对Web 应用进行快速扫描的AppScan standard edition,以及进行安全管理和汇总整合的AppScan enterprise Edition 等。
我们经常说的AppScan 就是指的桌面版本的AppScan,即AppScan standard edition。
其安装在Windows 操作系统上,可以对网站等Web 应用进行自动化的应用安全扫描和测试。
来张AppScan 的截图,用图表说话,更明确。
图 1. AppScan 标准版界面请注意右上角,单击“扫描”下面的小三角,可以出现如下的三个选型“继续完全扫描”、“继续仅探索”、“继续仅测试”,有木有?什么意思?理解了这个地方,就理解了AppScan 的工作原理,我们慢慢展开:还没有正式开始安全测试之前,所以先不管“继续”,直接来讨论“完全扫描”,“仅探索”,“仅测试”三个名词:AppScan 三个核心要素AppScan 是对网站等Web 应用进行安全攻击来检查网站是否存在安全漏洞;既然是攻击,需要有明确的攻击对象吧,比如北约现在的对象就是卡扎菲上校还有他的军队。
对网站来说,一个网站存在的页面,可能成千上万。
每个页面也都可能存在多个字段(参数),比如一个登陆界面,至少要输入用户名和密码吧,这就是一个页面存在两个字段,你提交了用户名密码等登陆信息,网站总要有地方接受并且检查是否正确吧,这就可能存在一个新的检查页面。
这里的每个页面的每个参数都可能存在安全漏洞,所有都是被攻击对象,都需要来检查。
这就存在一个问题,我们来负责来检查一个网站的安全性,这个网站有多少个页面,有多少个参数,页面之间如何跳转,我们可能并不明确,如何知道这些信息?看起来很复杂,盘根错节;那就更需要找到那个线索,提纲挈领;想一想,访问一个网站的时候,我们需要知道的最重要的信息是哪个?网站主页地址吧?从网站地址开始,很多其他频道,其他页面都可以链接过去,对不对,那么可不可以有种技术,告诉了它网站的入口地址,然后它“顺藤摸瓜”,找出其他的网页和页面参数?OK,这就是“爬虫”技术,具体说,是“网站爬虫”,其利用了网页的请求都是用http 协议发送的,发送和返回的内容都是统一的语言HTML,那么对HTML 语言进行分析,找到里面的参数和链接,纪录并继续发送之,最终,找到了这个网站的众多的页面和目录。
appscan使用文档
一、环境搭建1. 软件下载官网下载地址:https:///developerworks/cn/downloads/r/appscan/破解版下载地址:/s/1dFFti85密码:u7z32. 软件安装直接运行安装包,按照提示安装即可3. 软件破解将破解补丁替换“..\..\IBM\AppScan Standard”安装目录下同名文件二、测试流程以下内容以appscan9.0为例1. 启动appscan点击运行appscan.exe即可2. 创建扫描1)在欢迎页面选择->创建新的扫描…,打开新建扫描面板,如下图:2)9.0没有综合扫描模板,一般选择常规扫描模板,选择模板后打开扫描配置面板,如下图:3)在扫描向导中选择扫描类型,一般选择web应用程序扫描;若要选择web service扫描,需安装GSC;除了按照提示一步步操作,也可以点击右下角完全扫描配置进行扫描配置(具体可参照二.3);选择完扫描类型后,点击下一步打开配置URL和服务器面板,如下图:4)起始URL中输入要扫描的站点,可以是域名格式,也可以是IP格式;如果勾选了“仅扫描此目录中或目录下的链接”,则会只扫描起始URL目录或者子目录中的链接;区分大小写的路径:如果选中,则大小写不同的链接会被视为两个页面,如A.apsx和a.spsx;建议linux或UNIX服务器时勾选,windows服务器时不勾选;其他服务器和域:如果应用程序包含的服务器或域不同于“起始URL”包含的服务器或域,则应该添加到此处,如和二级域不同;我需要配置其他连接设置:缺省情况下,AppScan 会使用Internet Explorer 代理设置,默认不勾选,若勾选,点击下一步会打开配置代理页面;配置完成后,点击下一步打开登录管理面板,如下图:5)登录管理提供4种选项:a)记录:推荐使用,选择此项,appscan将使用所记录的登录过程,从而像实际用户一样填写字段。
appscan使用教程
appscan使用教程AppScan 使用教程AppScan 是一款常用的Web应用程序安全扫描工具,它可以帮助开发者识别和修复应用程序中的安全漏洞。
下面是一份简要的AppScan使用教程,旨在帮助您开始使用该工具:1. 下载并安装AppScan:首先,您需要从IBM官方网站下载并安装AppScan。
确保您选择最新版本的工具,并按照安装向导进行操作。
2. 创建扫描任务:启动AppScan后,您将看到一个主界面。
点击“新建扫描任务”按钮,然后输入任务名称和说明。
您还可以选择扫描的目标URL和目标平台(如Web应用程序、移动应用程序等)。
3. 配置扫描设置:在创建任务后,您可以进一步配置扫描设置。
这包括选择使用的扫描引擎、设置并发连接数、定义登录信息、配置扫描速度等。
4. 开始扫描:完成配置后,点击“开始扫描”按钮开始执行扫描任务。
AppScan将开始自动扫描目标应用程序,发现潜在的漏洞和薄弱点。
5. 查看扫描结果:一旦扫描完成,您可以在AppScan中查看扫描结果。
该结果将包含发现的漏洞、详细的漏洞报告、漏洞等级和修复建议。
6. 修复漏洞:根据扫描结果,您可以开始修复发现的安全漏洞。
这可能包括修复代码中的漏洞、更新应用程序的配置和权限设置等。
7. 导出报告:将扫描结果导出为报告以供后续参考。
AppScan提供了多种报告格式,如PDF、HTML、Excel等。
请注意,这只是一个简要的教程,并不能覆盖AppScan的所有功能和细节。
根据您的具体需要,您可能需要深入学习和了解AppScan的其他特性和高级用法。
AppScan使用手册
本人英语能力有限,如有错误请见谅。
——译者这个向导是AppScan 用户向导手册和AppScan 在线帮助的补充(fairyox)。
主要目的是为这个产品做介绍,如果需要更多的资料和详细的说明书请参阅用户手册和在线帮助1安装1.1 AppScan安装将AppScan 安装保存在计算机中,双击它,然后根据提示操作。
1.2注册文件安装AppScan 安装中包括一个允许扫描指定站点的注册文件(见章节1.4),但是不能扫描其他站点。
扫描其他站点需要得到IBM 授予的合法注册文件。
这样就可以扫描其他站点并读取和保存扫描模版,否则不能运行其他站点的扫描。
安装扫描文件:1. 打开AppScan2. 在帮助菜单选择License3. 如果已经有注册文件:点Load License File,找到注册文件,点Open。
或者在网上获得注册文件:确认连接好Internet 网,点Obtain License Online,然后根据提示操作4. 点ok 关闭注册对话框。
1.3升级IBM 每天升级AppScan 的应用弱点数据库。
每次AppScan 会自从从IBM 搜索、安装升级补丁。
用户也可以随时手动升级:打开AppScan,点击升级,根据提示操作。
1.4 AppScan的试用版如果您在使用AppScan 的试用版,注册文件只允许您对IBM Rational AppScan 定制的测试站点进行测试:AppScan下载:https:///securearea/appscan.aspxView Selector 视图选择 选择三个按钮中的一个来选择三个窗口数据显示的类型。
Application Tree 应用树 AppScan 收集扫描结果时会把他们显示在应用树中;在扫描 结束时应用树显示所有 AppScan 在应用中找到的文件夹、 URL 和文件。
Result List 结果列表 显示应用树中被选节点有关的结果。
Detail Pane 细节 显示结果列表中被选项的详细信息,在三个页面分别显示报 告、建议和请求/响应。
AppScan操作手册
AppScan操作⼿册AppScan操作⼿册1.SQL注⼊1.1.什么是sql注⼊所谓SQL注⼊(SQL Injection),就是利⽤程序员对⽤户输⼊数据的合法性检测不严或不检测的特点,故意从客户端提交特殊的代码,从⽽收集程序及服务器的信息,获取想得到的资料(如数据库⽤户名、密码、表结构等)。
SQL注⼊是从正常的WWW端⼝访问,⽽且表⾯看起来跟⼀般的Web页⾯访问没什么区别,所以⽬前市⾯的防⽕墙都不会对SQL注⼊发出警报。
动态⽣成Sql命令时没有对⽤户输⼊的数据进⾏验证是Sql注⼊攻击得逞的主要原因。
1.2.sql注⼊原理攻击者会将⼀些恶意代码插⼊到字符串中,然后会通过各种⼿段将该字符串传递到SQLServer数据库的实例中进⾏分析和执⾏。
只要这个恶意代码符合SQL语句的规则,则在代码编译与执⾏的时候,就不会被系统所发现。
SQL注⼊式攻击的主要形式有两种:⼀是直接将代码插⼊到与SQL命令串联在⼀起并使得其以执⾏的⽤户输⼊变量,由于其直接与SQL语句捆绑,故也被称为直接注⼊式攻击法。
⼆是⼀种间接的攻击⽅法,它将恶意代码注⼊要在表中存储或者作为原数据存储的字符串。
在存储的字符串中会连接到⼀个动态的SQL命令中,以执⾏⼀些恶意的SQL代码。
2.AppScan注册2.1.注册步骤1.将patch.exe⽂件当到APPSCAN的安装⽬录(如:D:\Program Files\IBM\Rational AppScan)下,运⾏。
2.运⾏keygen.exe,⽣成lince.lic⽂件。
打开APPSCAN,帮助-》许可证-》装⼊旧格式(.lic)的许可证,将刚才⽣成的.lic⽂件装载。
3.新建扫描任务3.1.扫描模板选择打开AppScan⼯具,点击“新建”,会弹出⼀个扫描模板选择框,⼀般选择“常规扫描” 或者⾃⼰定义的模板。
下⼀步会进⼊扫描配置向导,选择执⾏的扫描类型,默认是“Web应⽤程序扫描”,点击“下⼀步”,输⼊“起始URL”3.2.登录管理进⼊登录管理,因为有些页⾯需要登录后才能做有效的扫描,这⾥记录的是登录所需信息,便于扫描时能登录应⽤程序。
信息安全检测实验报告
一、实验目的本次实验旨在通过实际操作,了解信息安全检测的基本原理和方法,掌握常用的信息安全检测工具的使用,提升对信息系统的安全评估能力,为保障信息系统安全提供技术支持。
二、实验环境1. 操作系统:Windows 102. 安全检测工具:Nessus、AWVS、AppScan3. 实验网络:局域网环境,包含一台服务器和若干台客户端计算机三、实验内容1. 系统漏洞扫描(1)使用Nessus进行系统漏洞扫描- 安装Nessus并配置好扫描目标- 选择合适的扫描策略,启动扫描任务- 分析扫描结果,识别潜在的安全风险(2)使用AWVS进行Web应用漏洞扫描- 安装AWVS并配置好扫描目标- 选择合适的扫描策略,启动扫描任务- 分析扫描结果,识别Web应用中的安全漏洞2. 应用程序安全检测(1)使用AppScan进行应用程序安全检测- 安装AppScan并配置好检测目标- 选择合适的检测策略,启动检测任务- 分析检测结果,识别应用程序中的安全风险3. 安全事件分析- 收集实验过程中产生的安全事件日志- 使用安全事件分析工具(如Splunk)对日志进行分析- 识别异常行为,发现潜在的安全威胁四、实验步骤1. 准备实验环境- 安装操作系统、安全检测工具和实验网络- 配置好扫描目标和检测目标2. 进行系统漏洞扫描- 使用Nessus对服务器进行系统漏洞扫描- 使用AWVS对Web应用进行漏洞扫描3. 进行应用程序安全检测- 使用AppScan对应用程序进行安全检测4. 安全事件分析- 收集安全事件日志- 使用安全事件分析工具进行分析五、实验结果与分析1. 系统漏洞扫描- Nessus扫描结果显示,服务器存在多个已知漏洞,包括SQL注入、跨站脚本等- AWVS扫描结果显示,Web应用存在多个安全漏洞,包括SQL注入、文件上传等2. 应用程序安全检测- AppScan检测结果显示,应用程序存在多个安全风险,包括SQL注入、跨站脚本等3. 安全事件分析- 安全事件分析结果显示,实验过程中存在异常行为,如频繁访问敏感文件、异常登录尝试等六、实验总结本次实验通过对信息安全检测工具的使用,成功识别了服务器、Web应用和应用程序中的安全漏洞和风险。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
针对大型网站的扫描,我们按照戴明环 PDCA 的方法论来进行规划和讨论,建议 AppScan 使用步骤:计划(Plan)、执行(Do)、检查(check)、分析(Analysis and Action)。
1.在计划阶段:明确目的,进行策略性的选择和任务分解。
明确目的:选择合适的扫描策略了解对象:首先进行探索,了解网站结构和规模确定策略:进行对应的配置按照目录进行扫描任务的分解按照扫描策略进行扫描任务的分解2.执行阶段:一边扫描一遍观察进行扫描先爬后扫(继续仅测试)3.检查阶段(Check)检查和调整配置4.结果分析(Analysis)对比结果汇总结果(整合和过滤)下面我们针对每个阶段,进行具体的阐述。
准备阶段AppScan 安装环境要求和检查为了保证更好的扫描效果,安装 AppScan 的硬件建议配置如下:Rational AppScan 安装配置要求硬件最低需求处理器Pentium P4,2.4 GHz内存2 GB RAM磁盘空间30 GB网络1 NIC 100 Mbps(具有已配置的 TCP/IP 的网络通信)其中,处理器和内存建议越大越好,而磁盘空间,建议系统盘(一般是 C 盘)磁盘空间至少保留 10G,如果系统盘磁盘空间比较少,可以考虑把用户文件等保存在其他盘;如默认的用户文件是:C:\Documents and Settings\Administrator\My Documents\AppScan;可以修改为其他路径。
该路径可以在菜单栏中依次选择工具 - 选项 - 一般 - 文件位置部分修改。
图 1. 设置文件保存路径磁盘要求:修改临时文件路径有时候大家会发现,已经把上面的地址都修改到了其他盘,但是在扫描过程中,还是会发现 C 盘的空间快速被消耗,分析原因,是因为很多临时文件都保存在 C 盘,AppScan 中有一个隐藏的参数 APPSCAN_TEMP 来设置临时文件位置。
在扫描过程中,如果系统盘空间比较下,可以通过修改系统变量来修改到其他硬盘空间。
临时文件位置说明:描述正常操作期间 AppScan 将其临时文件保存到的位置。
缺省情况下,AppScan 将其临时文件存储在以下位置:C:\Documents and Settings\All Users\Application Data\IBM\Rational AppScan\temp如果需要修改此缺省位置,请按照要求编辑环境变量 APPSCAN_TEMP 的路径。
(访问环境变量的方法是,右键单击我的电脑,然后依次选择属性 > 高级 > 环境变量。
)注意:在新位置的路径中绝不能有任何 Unicode 字符。
修改 AppScan 中的临时文件:1.桌面上鼠标右键选择“我的电脑”,选择“属性”2.选择“高级”,“环境变量”3.增加一个新的“用户环境变量”,名字是“APPSCAN_TEMP”,设定路径,指向您希望保存临时文件的目录。
计划阶段在计划阶段,首先明确几个问题:1.关心哪些类型的安全问题,根据这些安全问题来设置扫描规则。
2.要扫描的网站地址,网站的业务特点。
扫描策略的选择试想,我们现在要扫描的是某个移动公司的网站系统,该网站系统提供多个内容频道,还可以连接到多个其他移动公司网站和业务网站,我们本次安全测试重点关心的是门户网站本身和其上面的网上营业厅业务。
这就是一个比较明确的测试目标对象。
然后,确定扫描策略,我们主要关心该网站是否存在跨站点脚本执行和 SQL 注入的问题,则在扫描规则中,我们就可以选择这两种类型的规则,其他规则都排除。
具体的扫描规则定制,可以在扫描配置 - 测试 - 测试策略中选择:在测试策略中,有多种不同的分组模式,最经常使用的是“严重性”,“类型”,“侵入式”、“WASC 威胁分类”等标准,根据不同分组选择的扫描策略,最后组成一个共同的策略集合。
根据我们这次扫描的目标,关心的是跨站点脚本执行和 SQL 注入的问题,而且不考虑“基础结构”级别的安全问题。
则就可以首先选择一个默认的扫描策略,然后全部置空,再选择跨站点脚本执行和 SQL 注入,最后再去除这两种扫描策略中和基础结果相关的安全问题。
方法如下:1.选择缺省的扫描策略,或者把当前的扫描策略,切换到按照“类型”分类,取消掉“基础结构”和“应用程序”两种类型。
2.说明:则把扫描策略置空,没有选择任何的扫描策略,指所有分布类型选择“类型”分类,是因为类型分类里面含有的类型,只有两种类型,可以快速全部都取消掉。
3.分组类型,切换到“WASC 威胁分类”,选择“SQL 注入”和“跨站点脚本编制”。
4.分组类型,切换到“类型”,发现这时候“基础结构”和“应用程序”两种类型的扫描策略都是选择上的模式,而且是虚线,说明这两种类型下均有部分扫描策略被选择了。
我们不关心“基础结构”级别的安全问题,所以在这里取消“基础结构”。
图 2. 按“类型”分类的测试策略5.分组类型,切换到“侵入式”类型,下面有“非侵入式”和“侵入式”两种分类。
取消“基础结构”级别的测试。
侵入式的测试用例,往往因为有比较强的副作用,可能对系统造成伤害,所以一般扫描生产系统的时候,很少选择。
我们可以查看一个 SQL 注入类型的侵入式安全问题,在“输入以查找”输入框中输入“SQL”,然后回车查询。
可以看到测试变体的描述“将参数值设置为 Declare/Case SQL 注入攻击(尝试关闭 DB 服务器)”,则扫描过程中,会使用该测试用例去执行尝试关闭数据库的命令,如果该测试用例执行通过,则就关闭了数据库,则整个系统就瘫痪!所以,要很慎重的选择“侵入式的测试用例”。
图 3. 查询测试策略图 3 大图其他的在“类型”中,“应用程序”类型表示该问题的存在是因为应用程序不严谨,代码存在安全问题而造成的,修改方法就是修改原代码;而“基础结构”类型,则表示该问题是配置问题,建议修改系统配置或者安装最新的补丁(经常是中间件或数据库补丁)。
了解被测试网站在对网站进行测试之前,我们经常需要先大概了解下这个网站,比如该网站使用了哪些技术,提供什么类型的业务(功能),网站规模等。
这些都和我们的扫描设置相关。
如下图,就是我们经常使用的一个调查表,了解被测试系统的基本特点。
表 2. 记录被测网站特点应用系统名称访问地址应用系统架构(JEE/.Net/PHP…)URL 数量登陆方式备注其中,用户经常迷惑的是 URL 数量,有些时候,用户很难评估出一个系统的大概页面数量,而按照 AppScan 的工作原理,扫描是针对页面的每个参数的,如果页面越多,参数越多,则扫描要运行的时间也就越长,扫描保存成的接过文件也是越大,更需要进行分解。
如果一个扫描任务,本身的已访问 URL 数超过 5000,评估的要运行的安全测试用例数超过 50,000,则建议进行扫描配置的分析,并根据分析结果,决定是否需要进一步的任务分解和分工。
那么,如果可以了解到网站具体有哪些页面呢?这里我们就可以利用 AppScan 的探索(页面爬行)能力。
在扫描配置里面设置了主 URL 以后,工作菜单中中依次选择扫描 - 仅探索。
对网站进行探索。
一般会让探索工具运行 10 到 30 分钟,看该网站具体存在哪些页面,哪些参数等。
这个就可以切换到“应用程序数据”视图来查看。
我们一般关心这几个视图:已访问的 URL():AppScan 已经探索到并且进行了分析的页面已过滤掉的 URL():AppScan 已经发现,同时根据扫描配置,认为不需要进行安全扫描的页面。
中断链接 URL():AppScan 发现了,但是无法访问到或者访问出错的页面,如 404 页面不存在,或者500 服务器错误等。
伪静态页面可以选择左边“我的应用程序数据”中的 URL 树下的每一个节点,察看该节点已访问的 URL,已过滤掉的 URL 等。
如在已访问的 URL() 中,我们发现大量类似如下结构的 HTML 页面://focus/satisfy/file5.html //focus/satisfy/file6.html /m-zone/news/dgdd/quanbu/bylb/file5.html其共同特征,都是以 html 为后缀名,最后的文件名格式都是 file+ 数字格式;这种类型的页面经常存在新闻,论坛等。
如果访问这些页面,发现页面结构相同,差异的都是里面的文本内容,如提供不同的新闻内容等,这些页面就是所谓的“伪静态页面”,其实是网站发布系统动态产生的,由于结果相似,在安全扫描中,没有必要针对这些页面每次都进行扫描。
如针对每个目录下面存在的 file+ 数字格式的页面,我们就可以设置正则表达式来过滤,比如,在扫描配置 - 排除路径和文件中排除所有该类型的页面;.*file\d+.html增加“例外”,对该类型的页面只扫描 file1.html 和 file20.html经常存在的其他类似页面,还有 news1.html、content200.html 等类型,采用方法类似。
业务类型的“冗余路径”和“伪静态页面”对应的有另外一种动态页面,这些页面按照默认的扫描规则,会被自动过滤,但是根据真实的业务场景,这些页面确实不能被过滤的,如访问 时候在“已过滤URL”内会显示有如下的 URL 地址,过滤原因都是“路径限制”:/default.aspx?content=inside_community.htm/default.aspx?content=inside_press.htm/default.aspx?content=inside_executives.htm选择 URL 地址,鼠标右键“在浏览器中显示”,会发现这里显示的页面内容完全不一样,和上面的“伪静态页面”正好相反,这些参数相同,参数值不同的动态页面,是真正的业务页面,是不能过滤掉;如果过滤,则会很多后续的业务页面无法发现。
那这些页面为什么会被过滤了呢?按照什么样的规则被过滤掉的?在 AppScan 中,默认情况下是有一个“冗余路径限制”(在“扫描配置 - 探索选型 - 冗余路径限制”),默认对于冗余的页面,最多扫描 5 次,关键的问题是,什么页面被被 Appscan 认为是冗余页面呢 ?图 4. 冗余路径设置简单说:/default.aspx?content=inside_community.htm/default.aspx?content=inside_press.htmAppscan 是根据“?”号来分隔的,如果 ? 号前面的内容都相同,则就被认为是冗余页面,所以上面的页面就是冗余页面了。
遇到这样情况的页面,最多被访问 5 次。
而这 5 次,具体是使用了哪些参数,是随机的,具体访问到的页面也会在“应用程序数据”视图的“已访问的URL”中查看:/default.aspx?content=business.htm/default.aspx?content=business_lending.htm/default.aspx?content=inside_contact.htm可是,在本例中 content 参数值不同的时候,其实根据业务逻辑,不应该算作“冗余页面的”,而按照配置,也会被自动过滤了,遇到这种情况,就需要考虑增加“冗余路径限制”,如设置为 20 或者 50。