AppScan8下載(Web漏洞掃描工具)

8.7 中文破解版

軟件大小：329 MB
更新日期：2016-11-23
軟件語言：簡體中文
軟件類別：系統(tǒng)增強
軟件授權：免費軟件
軟件官網：未知
適用平臺：WinXP, Win7, Win8, Win10, WinAll
軟件廠商：

8.9分

50% 50%

本地下載文件大?。?29 MB 高速下載需下載高速下載器，提速50%

軟件介紹人氣軟件相關文章網友評論下載地址

為您推薦：系統(tǒng)增強

　　AppScan是一個適合安全專家的 Web 應用程序和 Web 服務滲透測試解決方案，通過該軟件，用戶可以快速的對網站進行漏洞掃描與風險評估，從而有效的提升網站的安全性，幫助用戶更好的維護網站；軟件具有強大的Web服務掃描功能，可以有效的對網站中的頁面及內容進行全面掃描，支持對Web 2.0、JavaScript 和 AJAX 框架進行安全監(jiān)測，掃描的結果會生成PDF報告文檔，支持40多種合理性的分析報告，報告內容十分詳細，能夠將各種漏洞信息進行具體報告，方便用戶了解該網站的安全信息；除了提供掃描功能外，AppScan還支持漏洞修復功能，用戶在掃描出漏洞信息后，可以直接通過該軟件進行項目修復，非常實用，當然了，有的漏洞是由網站本身的構建框架引起的，需要用戶手動進行修復工作，真正實現(xiàn) Web 應用程序和 Web 服務的全面安全評估與修復工作，AppScan的宗旨在于幫助每個人在組織中做出實現(xiàn)更好的業(yè)務成果，無論是在Web 應用程序風險評估還是系統(tǒng)的漏洞掃描，都能夠輕松地擴展您的分析，以滿足不斷變化的業(yè)務需求，需要的朋友趕快下載試試吧！

軟件功能

　　1、自動動態(tài)應用程序安全測試（DAST）和現(xiàn)代Web應用程序和服務的交互式應用程序安全測試（IAST）。

　　2、綜合JavaScript的執(zhí)行引擎支持Web 2.0，JavaScript和AJAX框架。

　　3、SOAP和REST Web服務測試，涵蓋了XML和JSON的基礎設施。支持WS-Security標準，XML加密和XML簽名。

　　4、詳細的漏洞公告和修復建議。

　　5、40合規(guī)性報告，包括支付卡行業(yè)數據安全標準（PCI DSS），支付應用數據安全標準（PA-DSS），ISO 27001和ISO 27002，和Basel II。

　　6、定制和擴展與IBM安全AppScan的擴展框架。

軟件特色

　　1、Web服務掃描

　　Web服務掃描是Appscan8中具有有效自動化支持的一個掃描功能。

　　2、Java腳本安全分析

　　Appscan8中介紹了JavaScript安全性分析,分析抓取html頁面漏洞，并允許用戶專注于不同的客戶端問題和DOM(文檔對象模型)為基礎的XSS問題。

　　3、工具支持

　　它有像認證測試，令牌分析器和HTTP請求編輯器等,方便手動測試漏洞.

　　4、報告

　　根據你的要求，可以生成所需格式的報告。

　　5、Glass box testing

　　Glass box testing是Appscan8中引入的一個新的功能.這個過程中，安裝一個代理服務器,這有助于發(fā)現(xiàn)隱藏的URL和其它的問題。

　　6、修復支持

　　對于確定的漏洞,程序提供了相關的漏洞描述和修復方案.

　　7、Flash支持

　　Appscan8相對早期的版本增加了flash支持功能，它可以探索和測試基于Adobe的Flex框架的應用程序，也支持AMF協(xié)議。

　　8、可定制的掃描策略

　　Appscan8配備一套自定義的掃描策略,你可以定制適合你需要的掃描策略。

主要優(yōu)勢

　　通過使用內置的掃描配置向導獲得一個快速啟動。

　　獲取你的Web應用程序和Web服務的全面的安全評估。

　　了解漏洞以及如何全面咨詢解決這些問題和解決建議。

　　通信使用詳細的PDF報告漏洞開發(fā)團隊。

　　確定不符合行業(yè)規(guī)范的領域。

軟件特點

　　覆蓋面廣掃描和測試用于各種應用的安全漏洞。

　　準確的掃描和先進的檢測能夠提供更高程度的準確性。

　　快速修復與優(yōu)先的結果和修復建議。

　　增強的洞察力與合規(guī)，幫助管理合規(guī)性，并提供了對關鍵問題的認識。

新版優(yōu)勢

　　Flash支持： 8.0 Appscan相對早期的版本增加了flash支持功能，它可以探索和測試基于Adobe的Flex框架的應用程序，也支持AMF協(xié)議。

　　Glass box testing:：Glass box testing是Appscan中引入的一個新的功能.這個過程中，安裝一個代理服務器,這有助于發(fā)現(xiàn)隱藏的URL和其它的問題。

　　Web服務掃描：Web服務掃描是Appscan中具有有效自動化支持的一個掃描功能。

　　Java腳本安全分析：Appscan中介紹了JavaScript安全性分析,分析抓取html頁面漏洞，并允許用戶專注于不同的客戶端問題和DOM（文檔對象模型）為基礎的XSS問題。

　　報告：根據你的要求，可以生成所需格式的報告。

　　修復支持：對于確定的漏洞,程序提供了相關的漏洞描述和修復方案.

　　可定制的掃描策略：Appscan配備一套自定義的掃描策略,你可以定制適合你需要的掃描策略。

　　工具支持：它有像認證測試，令牌分析器和HTTP請求編輯器等,方便手動測試漏洞.

　　Ajax和Dojo框架的支持。

　　現(xiàn)在，讓我們繼續(xù)學習更多有關安裝和使用Rati??onal AppScan掃描Web應用程序的過程。

優(yōu)化改進

　　1.“配置”對話框的“登錄管理”視圖已更新，并且添加了一個新的選項卡，從而支持更高效的會話管理：

　　2.基于操作的登錄（在瀏覽器中重現(xiàn)用戶實際操作，而不僅是請求）現(xiàn)在將顯示在用戶界面中，而您可以觀看瀏覽器中回放的序列

　　3.登錄序列以兩種形式進行記錄：基于操作（用戶“單擊”）和基于請求，這兩種形式都可通過已更新的“詳細信息”選項卡進行管理（缺省情況下，將使用對于應用程序最高效的形式）

　　4.對所記錄登錄的問題的更簡單故障診斷

　　5.新的“驗證”功能在掃描期間實時回放登錄序列，跟蹤 cookie，檢測最終響應中的會話中模式，并極大地改進會話中維護

　　“排除和例外”現(xiàn)在可應用于特定參數

　　您現(xiàn)在可從掃描中排除包含特定參數甚至特定參數值的 URL。這對于 megascript 應用程序（包含在 URL 中并且由其參數控制的應用程序）特別有用。

安裝說明

　　要運行Appscan的系統(tǒng)至少需要2GB的RAM,同時確保安裝了.net framwork和Adobe flash來執(zhí)行掃描過程中的Flash內容。在進一步之前，需要注意的是,這種自動掃描器會發(fā)送數據到服務器,有可能在掃描過程中讓服務器超過負荷，所以它可能會刪除服務器上的數據，添加新記錄甚至讓服務器崩潰.因此掃描之前最好備份所有的數據.

　　安裝Appscan之前，關閉所有打開的應用程序。點擊安裝文件，會出現(xiàn)安裝向導,如果你還沒有安裝.Net framwork，Appscan安裝過程會自動安裝，并需要重新啟動。按照向導的指示，可以很容易的完成安裝.如果你使用的是默認許可，你將只允許掃描appscan中的測試網站。要掃描自己的網站，需要付費購買許可版本.

安裝方法

　　1、下載解壓文件，找到AppScan 8.exe雙擊安裝

　　2、閱讀協(xié)議，勾選第一項接受

　　3、選擇安裝位置C:Program Files (x86)IBMAppScan Standard

　　4、正在安裝，請稍后

　　5、安裝完成

使用方法

　　1、開始掃描,啟動Appscan，你會看到如圖所示的歡迎屏幕.點擊”Create New Scan” 開始掃描一個新的Web應用程序

　　2、選擇一個適合你要求的掃描模板。模板包括已經定義好的掃描配置.選擇一個模板后會出現(xiàn)配置向導。它會問你選擇的掃描類型，選擇”Web Application Scan”，然后點擊Next

　　掃描配置向導是該工具的核心部分,使用設置向導，會讓Appscan知道的需求,其中有很多可供的需求選擇.

　　3、URL and Servers(URL和服務器)

　　Starting URL(起始網址)：此功能指定要掃描的起始網址.在大多數情況下，這將是該網站的登陸頁面.如果你想限制只掃描到這個目錄下的鏈接,選中該復選框.

　　Case Sensitive Path(大小寫的選擇):如果你的服務器URL有大小寫的區(qū)別,選擇此項。對大小寫的區(qū)別取決于服務器的操作系統(tǒng),Linux/Unix中對大小寫是敏感的,而Windows是沒有的.

　　4、Login Management(登陸管理)

　　在掃描的過程中，可能會不小心碰到退出按鈕導致Appscan注銷.因此,要登陸到應用程序中,我們需要根據本條中的設置。

　　Recorded(記錄):選擇此項后,會出現(xiàn)一個新的瀏覽器，并嘗試鏈接到指定的網站作為本掃描的起始URL.你需要輸入賬號和密碼登陸到應用程序.這樣設置之后你可以關閉瀏覽器，但是不要點擊注銷按鈕.有時候你會發(fā)現(xiàn)打開的瀏覽器不是IE或者Mozilla，而是Appscan瀏覽器.你可以改變通過設置來改變這個.Tools–>Options –>Advanced,設置OpenIEBrower的值0–Appscan瀏覽器,1–IE,2–Firefox,3–Chrome.如果該網站的行為在不同的瀏覽器下有所不同,這個設置將是非常有用的.

　　5、Prompt(提示):每次注銷之后,Appscan會提示你登陸到應用程序中.如果你打算整個掃描你的系統(tǒng)，你可以選擇這個選項.

　　Automatic(自動)：在這里你可以直接指定用戶名和密碼,當你需要登陸到應用程序的時候.

　　6、Test Policy

　　根據你的測試策略,你需要選擇最適合你需求的策略,現(xiàn)有的策略都是默認的,僅應用和基礎設置，侵入性的，完整的，關鍵的少數等等.其中大多是使用現(xiàn)有的策略.如果你不希望在登陸時發(fā)送測試和注銷頁面，你可以選擇該選項。

　　7、Complete

　　這是開始掃描的最后一步.IBM Rational Appscan允許你選擇你想要的掃描方式，即完成掃描,探索掃描等.

　　Start a full automatic sacn(開始一個完整的自動掃描):隨著前面創(chuàng)建的配置,Appscan將開始探索和測試階段.

　　Start with automatic explore only(開始探索掃描):Appscan只會探索應用程序，但不發(fā)送攻擊.

　　Start with manual explore(開始手動探索):瀏覽器將被打開,你可以手動瀏覽器應用程序.

　　當你想做出更多的更改掃描配置,你可以選擇最后一個選項”i will start scan later”.

　　在我們開始之前,我們有很重要的事情要做,它是Appscan的心臟和靈魂-“Full scan Configuration(全局掃描配置)”窗口.讓我們明白為什么它在掃描任意應用程序的時候那么重要.

　　8、Full Scan Configuration

　　在下圖中，有四個主要的部分–探索，鏈接，測試和一般，讓我們看看具體的細節(jié)：

　　Explore

　　URL and Servers(URL和服務器): 掃描的URL和額外的服務器鏈接的處理.

　　9、Environment Definition(環(huán)境的定義):在此設置下，你可以指定操作系統(tǒng),Web服務器,數據庫服務器,以及其它第三方組件,它可以幫助你提高掃描的精度和性能。

　　10、Test Options(測試選項):這個部分你可以選擇適合的測試選項.Appscan發(fā)送大量的測試，需要花費大量的時間.但是選擇適性測驗,Appscan會嘗試發(fā)送,以確定是適當的測試.它可以檢測到服務器是IIS,然后只發(fā)送其中針對IIS的脆弱性檢測測試,而不會檢查其它服務器有關的問題.

　　Privilege Escalation(特權升級):你可以上傳不同權限的用戶或未經授權的用戶掃描的掃描文件。

　　Scan Expert(掃描專家):掃描專家提出了建議，以更好的掃描應用程序。

　　點擊OK，將回到最初的掃描向導窗口.選擇”start a full automatic sacn”,單擊”finish”。完成配置過程，開始Appscan掃描.下一篇文章中，我們將探討有關Appscan掃描結果分析.

使用說明

　　探索和測試階段：

　　在我們開始掃描之前，讓我們對Appscan的工作做一個了解.任何自動化掃描器都有兩個目標：找出所有可用的鏈接和攻擊尋找應用程序漏洞。

　　探索(Explore):

　　在探索階段，Appscan試圖遍歷網站中所有可用的鏈接，并建立一個層次結構。它發(fā)出請求，并根據響應來判斷哪里是一個漏洞的影響范圍。例如，看到一個登陸頁面，它會確定通過繞過注入來通過驗證.在探索階段不執(zhí)行任何的攻擊，只是確定測試方向.這個階段通過發(fā)送的多個請求確定網站的結構和即將測試的漏洞范圍。

　　測試(Test)：

　　在測試階段,Appscan通過攻擊來測試應用中的漏洞.通過釋放出的實際攻擊的有效載荷，來確定在探索階段建立的安全漏洞的情況.并根據風險的嚴重程度排名。

　　在測試階段可能回發(fā)現(xiàn)網站的新鏈接，因此Appscan在探索和測試階段完成之后會開始另一輪的掃描，并繼續(xù)重復以上的過程，直到沒有新的鏈接可以測試。掃描的次數也可以在用戶的設置中配置.