HCL AppScan Standard中文版附補(bǔ)丁

HCL AppScan Standard中文版附補(bǔ)丁是IBM公司出的一款Web應(yīng)用識別并修復(fù)安全漏洞檢測測試專業(yè)工具，采用黑盒測試的方式，可以掃描常見的web應(yīng)用安全漏洞。AppScan功能十分齊全，支持登錄功能并且擁有十分強(qiáng)大的報表。在掃描結(jié)果中，不僅能夠看到掃描的漏洞，還提供了詳盡的漏洞原理、修改建議、手動驗證等功能。

軟件說明

其工作原理，首先是根據(jù)起始頁爬取站下所有可見的頁面，同時測試常見的管理后臺；獲得所有頁面之后利用SQL注入原理進(jìn)行測試是否存在注入點以及跨站腳本攻擊的可能；同時還會對cookie管理、會話周期等常見的web安全漏洞進(jìn)行檢測。

功能介紹

1、動態(tài)分析（“黑盒掃描”）
這是主要方法，用于測試和評估運行時的應(yīng)用程序響應(yīng)。
2、靜態(tài)分析（“白盒掃描”）
這是用于在完整 Web 頁面上下文中分析 JavaScript 代碼的獨特技術(shù)。
3、交互分析（“glass box 掃描”）
動態(tài)測試引擎可與駐留在 Web 服務(wù)器本身上的專用 glass-box 代理程序交互，從而使AppScan10中文破解版能夠比僅通過傳統(tǒng)動態(tài)測試時識別更多問題并具有更高準(zhǔn)確性。
4、AppScan10中文破解版 的高級功能包括：
常規(guī)和法規(guī)一致性報告，并提供超過 40 個不同的開箱即用模板

軟件功能

1、 測試Web應(yīng)用程序，Web服務(wù)和移動后端

AppScan Standard的強(qiáng)大掃描引擎采用最新的算法和技術(shù)，以確保最準(zhǔn)確的瀏覽范圍和測試。利用AppScan獨特的基于動作的技術(shù)和成千上萬的內(nèi)置測試，從簡單的Web應(yīng)用程序到單頁應(yīng)用程序到基于JSON的REST API，都能最好地處理實際應(yīng)用程序。

2、測試優(yōu)化和增量掃描

統(tǒng)計分析測試優(yōu)化可控制速度和覆蓋范圍之間的折衷，并實現(xiàn)更快的掃描，而對準(zhǔn)確性的影響最小。 增量掃描功能將測試工作僅集中在已更改的應(yīng)用程序代碼上。

3、解決復(fù)雜性

AppScan可以針對所有需求量身定制其測試。 憑借其先進(jìn)的配置，用戶甚至可以掃描最復(fù)雜的場景。 AppScan記錄并測試復(fù)雜的多步驟序列，動態(tài)生成唯一數(shù)據(jù)并跟蹤所有類型的標(biāo)頭和令牌。 機(jī)器學(xué)習(xí)探索可以通過預(yù)測哪些鏈接導(dǎo)致應(yīng)用程序的新領(lǐng)域來優(yōu)化大型應(yīng)用程序的爬網(wǎng)。

4、增強(qiáng)洞察力

廣泛的報告可對發(fā)現(xiàn)的問題提供強(qiáng)大的見解，從而簡化了問題分類和解決方案。 全面的合規(guī)性和行業(yè)標(biāo)準(zhǔn)報告（例如PCI-DSS，HIPAA，OWASP Top 10，SANS 25等）可幫助您滿足法規(guī)要求。

使用幫助

自動掃描如何運作

AppScan全面掃描”包含兩個階段：探索和測試。盡管掃描過程的絕大部分對于用戶來說實際上是無縫的，并且直到掃描完成幾乎不需要用戶輸入，但理解其后的原則仍然很有幫助。

1、探索階段

在第一個階段中，AppScan通過模擬Web用戶單擊鏈接和填寫表單字段來探索站點（Web應(yīng)用程序或Web Service）。這就是“探索”階段。

AppScan將分析它所發(fā)送的每個請求的響應(yīng)，查找潛在漏洞的任何指示信息。AppScan®接收到可能指示有安全漏洞的響應(yīng)時，它將自動基于響應(yīng)創(chuàng)建測試，并通知所需驗證規(guī)則，同時考慮在確定哪些結(jié)果構(gòu)成漏洞以及所涉及到安全風(fēng)險的級別時所需的驗證規(guī)則。

在發(fā)送所創(chuàng)建的特定于站點的測試之前，AppScan將向應(yīng)用程序發(fā)送若干格式不正確的請求，以確定其生成錯誤響應(yīng)的方式。之后，此信息將用于增加AppScan的自動測試驗證過程的精確性。

2、測試階段

在第二個階段，AppScan將發(fā)送它在探索階段創(chuàng)建的數(shù)千個定制測試請求。它使用定制驗證規(guī)則記錄和分析應(yīng)用程序?qū)γ總�測試的響應(yīng)。這些規(guī)則既可識別應(yīng)用程序內(nèi)的安全問題，又可排列其安全風(fēng)險級別。

3、掃描階段

在實踐中，“測試”階段會頻繁顯示站點內(nèi)的新鏈接和更多潛在安全風(fēng)險。因此，完成探索和測試的第一個“過程”之后，AppScan將自動開始第二個“過程”，以處理新的信息。如果在第二個過程中發(fā)現(xiàn)了新鏈接，那么會運行第三個過程，依此類推。

完成配置的掃描階段數(shù)（可由用戶配置；缺省情況下為四個階段）之后，掃描將停止，并且完整的結(jié)果可供用戶使用。

4、自動掃描流程圖解

下圖說明了自動掃描流程的階段和過程。請注意，此過程不需要用戶進(jìn)行任何操作，但是您在AppScan日志中可能會遇到對操作的引用。

提取碼：w8rs