HCL AppScan Standard中文版附補(bǔ)丁

HCL AppScan Standard中文版附補(bǔ)丁是IBM公司出的一款Web應(yīng)用識(shí)別并修復(fù)安全漏洞檢測(cè)測(cè)試專(zhuān)業(yè)工具，采用黑盒測(cè)試的方式，可以?huà)呙璩Ｒ?jiàn)的web應(yīng)用安全漏洞。AppScan功能十分齊全，支持登錄功能并且擁有十分強(qiáng)大的報(bào)表。在掃描結(jié)果中，不僅能夠看到掃描的漏洞，還提供了詳盡的漏洞原理、修改建議、手動(dòng)驗(yàn)證等功能。

軟件說(shuō)明

其工作原理，首先是根據(jù)起始頁(yè)爬取站下所有可見(jiàn)的頁(yè)面，同時(shí)測(cè)試常見(jiàn)的管理后臺(tái)；獲得所有頁(yè)面之后利用SQL注入原理進(jìn)行測(cè)試是否存在注入點(diǎn)以及跨站腳本攻擊的可能；同時(shí)還會(huì)對(duì)cookie管理、會(huì)話(huà)周期等常見(jiàn)的web安全漏洞進(jìn)行檢測(cè)。

功能介紹

1、動(dòng)態(tài)分析（“黑盒掃描”）
這是主要方法，用于測(cè)試和評(píng)估運(yùn)行時(shí)的應(yīng)用程序響應(yīng)。
2、靜態(tài)分析（“白盒掃描”）
這是用于在完整 Web 頁(yè)面上下文中分析 JavaScript 代碼的獨(dú)特技術(shù)。
3、交互分析（“glass box 掃描”）
動(dòng)態(tài)測(cè)試引擎可與駐留在 Web 服務(wù)器本身上的專(zhuān)用 glass-box 代理程序交互，從而使AppScan10中文破解版能夠比僅通過(guò)傳統(tǒng)動(dòng)態(tài)測(cè)試時(shí)識(shí)別更多問(wèn)題并具有更高準(zhǔn)確性。
4、AppScan10中文破解版 的高級(jí)功能包括：
常規(guī)和法規(guī)一致性報(bào)告，并提供超過(guò) 40 個(gè)不同的開(kāi)箱即用模板

軟件功能

1、 測(cè)試Web應(yīng)用程序，Web服務(wù)和移動(dòng)后端

AppScan Standard的強(qiáng)大掃描引擎采用最新的算法和技術(shù)，以確保最準(zhǔn)確的瀏覽范圍和測(cè)試。利用AppScan獨(dú)特的基于動(dòng)作的技術(shù)和成千上萬(wàn)的內(nèi)置測(cè)試，從簡(jiǎn)單的Web應(yīng)用程序到單頁(yè)應(yīng)用程序到基于JSON的REST API，都能最好地處理實(shí)際應(yīng)用程序。

2、測(cè)試優(yōu)化和增量掃描

統(tǒng)計(jì)分析測(cè)試優(yōu)化可控制速度和覆蓋范圍之間的折衷，并實(shí)現(xiàn)更快的掃描，而對(duì)準(zhǔn)確性的影響最小。 增量掃描功能將測(cè)試工作僅集中在已更改的應(yīng)用程序代碼上。

3、解決復(fù)雜性

AppScan可以針對(duì)所有需求量身定制其測(cè)試。 憑借其先進(jìn)的配置，用戶(hù)甚至可以?huà)呙枳顝?fù)雜的場(chǎng)景。 AppScan記錄并測(cè)試復(fù)雜的多步驟序列，動(dòng)態(tài)生成唯一數(shù)據(jù)并跟蹤所有類(lèi)型的標(biāo)頭和令牌。 機(jī)器學(xué)習(xí)探索可以通過(guò)預(yù)測(cè)哪些鏈接導(dǎo)致應(yīng)用程序的新領(lǐng)域來(lái)優(yōu)化大型應(yīng)用程序的爬網(wǎng)。

4、增強(qiáng)洞察力

廣泛的報(bào)告可對(duì)發(fā)現(xiàn)的問(wèn)題提供強(qiáng)大的見(jiàn)解，從而簡(jiǎn)化了問(wèn)題分類(lèi)和解決方案。 全面的合規(guī)性和行業(yè)標(biāo)準(zhǔn)報(bào)告（例如PCI-DSS，HIPAA，OWASP Top 10，SANS 25等）可幫助您滿(mǎn)足法規(guī)要求。

使用幫助

自動(dòng)掃描如何運(yùn)作

AppScan全面掃描”包含兩個(gè)階段：探索和測(cè)試。盡管掃描過(guò)程的絕大部分對(duì)于用戶(hù)來(lái)說(shuō)實(shí)際上是無(wú)縫的，并且直到掃描完成幾乎不需要用戶(hù)輸入，但理解其后的原則仍然很有幫助。

1、探索階段

在第一個(gè)階段中，AppScan通過(guò)模擬Web用戶(hù)單擊鏈接和填寫(xiě)表單字段來(lái)探索站點(diǎn)（Web應(yīng)用程序或Web Service）。這就是“探索”階段。

AppScan將分析它所發(fā)送的每個(gè)請(qǐng)求的響應(yīng)，查找潛在漏洞的任何指示信息。AppScan®接收到可能指示有安全漏洞的響應(yīng)時(shí)，它將自動(dòng)基于響應(yīng)創(chuàng)建測(cè)試，并通知所需驗(yàn)證規(guī)則，同時(shí)考慮在確定哪些結(jié)果構(gòu)成漏洞以及所涉及到安全風(fēng)險(xiǎn)的級(jí)別時(shí)所需的驗(yàn)證規(guī)則。

在發(fā)送所創(chuàng)建的特定于站點(diǎn)的測(cè)試之前，AppScan將向應(yīng)用程序發(fā)送若干格式不正確的請(qǐng)求，以確定其生成錯(cuò)誤響應(yīng)的方式。之后，此信息將用于增加AppScan的自動(dòng)測(cè)試驗(yàn)證過(guò)程的精確性。

2、測(cè)試階段

在第二個(gè)階段，AppScan將發(fā)送它在探索階段創(chuàng)建的數(shù)千個(gè)定制測(cè)試請(qǐng)求。它使用定制驗(yàn)證規(guī)則記錄和分析應(yīng)用程序?qū)γ總€(gè)測(cè)試的響應(yīng)。這些規(guī)則既可識(shí)別應(yīng)用程序內(nèi)的安全問(wèn)題，又可排列其安全風(fēng)險(xiǎn)級(jí)別。

3、掃描階段

在實(shí)踐中，“測(cè)試”階段會(huì)頻繁顯示站點(diǎn)內(nèi)的新鏈接和更多潛在安全風(fēng)險(xiǎn)。因此，完成探索和測(cè)試的第一個(gè)“過(guò)程”之后，AppScan將自動(dòng)開(kāi)始第二個(gè)“過(guò)程”，以處理新的信息。如果在第二個(gè)過(guò)程中發(fā)現(xiàn)了新鏈接，那么會(huì)運(yùn)行第三個(gè)過(guò)程，依此類(lèi)推。

完成配置的掃描階段數(shù)（可由用戶(hù)配置；缺省情況下為四個(gè)階段）之后，掃描將停止，并且完整的結(jié)果可供用戶(hù)使用。

4、自動(dòng)掃描流程圖解

下圖說(shuō)明了自動(dòng)掃描流程的階段和過(guò)程。請(qǐng)注意，此過(guò)程不需要用戶(hù)進(jìn)行任何操作，但是您在AppScan日志中可能會(huì)遇到對(duì)操作的引用。

提取碼：w8rs