Web安全課程設(shè)計(jì)第四章

Web安全課程設(shè)計(jì)第四章Web漏洞檢測(cè)工具簡(jiǎn)介點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本目錄01020304AppScan使用AppScan介紹AWVS使用

AWVS介紹第四章Web漏洞檢測(cè)工具簡(jiǎn)介點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本第四章Web漏洞檢測(cè)工具簡(jiǎn)介WVS(WebVulnerabilityScanner)是一個(gè)自動(dòng)化的Web應(yīng)用程序安全測(cè)試工具，它可以掃描任何可通過(guò)Web瀏覽器訪問(wèn)的和遵循HTTP/HTTPS規(guī)則的Web站點(diǎn)和Web應(yīng)用程序。適用于任何中小型和大型企業(yè)的內(nèi)聯(lián)網(wǎng)、外延網(wǎng)和面向客戶、雇員、廠商和其它人員的Web網(wǎng)站。AWVS介紹點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本第四章Web漏洞檢測(cè)工具簡(jiǎn)介WVS的主要特點(diǎn)：自動(dòng)的客戶端腳本分析器，允許對(duì)Ajax和Web2.0應(yīng)用程序進(jìn)行安全性測(cè)試。業(yè)內(nèi)最先進(jìn)且深入的SQL注入和跨站腳本測(cè)試。高級(jí)滲透測(cè)試工具，例如HTTPEditor和HTTPFuzzer?？梢暬暧涗浧鲙椭p松測(cè)試web表格和受密碼保護(hù)的區(qū)域。支持含有CAPTHCA的頁(yè)面，單個(gè)開始指令和TwoFactor（雙因素）驗(yàn)證機(jī)制。豐富的報(bào)告功能，包括VISAPCI依從性報(bào)告。高速的多線程掃描器輕松檢索成千上萬(wàn)個(gè)頁(yè)面。智能爬行程序檢測(cè)web服務(wù)器類型和應(yīng)用程序語(yǔ)言。Acunetix檢索并分析網(wǎng)站，包括flash內(nèi)容、SOAP和AJAX。端口掃描web服務(wù)器并對(duì)在服務(wù)器上運(yùn)行的網(wǎng)絡(luò)服務(wù)執(zhí)行安全檢查?？蓪?dǎo)出網(wǎng)站漏洞文件。AWVS特點(diǎn)點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本目錄01020304AppScan使用AppScan介紹AWVS使用

AWVS介紹第四章Web漏洞檢測(cè)工具簡(jiǎn)介點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本第四章Web漏洞檢測(cè)工具簡(jiǎn)介第一步：雙擊打開AWVS界面圖標(biāo)，進(jìn)入AWVS主界面，如圖所示：AWVS界面點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本第四章Web漏洞檢測(cè)工具簡(jiǎn)介第二步：點(diǎn)擊主界面左上角的“NewScan”,創(chuàng)建新的掃描任務(wù)，在“Scansinglewebsite”處填寫需要掃描的網(wǎng)站URL，此處掃描僅針對(duì)單個(gè)域名進(jìn)行掃描。AWVS新建掃描任務(wù)點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本第四章Web漏洞檢測(cè)工具簡(jiǎn)介AWVS新建掃描任務(wù)-Options第三步：設(shè)置掃描選項(xiàng)，AWVS可針對(duì)不同類型的漏洞進(jìn)行專項(xiàng)掃描，如：BlindSQLInjection、CSRF、XSS、File_Upload等，也可針對(duì)全部類型漏洞進(jìn)行掃描，選中“Default”。點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本第四章Web漏洞檢測(cè)工具簡(jiǎn)介AWVS新建掃描任務(wù)-Target第四步：創(chuàng)建任務(wù)。此處會(huì)探測(cè)被掃描網(wǎng)站的域名是否可訪問(wèn)、掃描的Base路徑、使用的中間件類型、使用的WEB腳本語(yǔ)言類型。點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本第四章Web漏洞檢測(cè)工具簡(jiǎn)介第五步：登錄設(shè)置。掃描過(guò)程中會(huì)發(fā)現(xiàn)有些網(wǎng)站中存在登錄頁(yè)面，此時(shí)可以點(diǎn)擊“NewLoginSequence”登錄指定頁(yè)面，登陸后，WVS會(huì)保存登錄信息。如果此步驟默認(rèn)，WVS在掃描出登錄頁(yè)面后，會(huì)提示進(jìn)行登錄AWVS新建掃描任務(wù)-Login點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本第四章Web漏洞檢測(cè)工具簡(jiǎn)介第六步：完成創(chuàng)建。以上五步設(shè)置完成后，點(diǎn)擊“Finish”完成創(chuàng)建任務(wù)，開始掃描。AWVS新建掃描任務(wù)-Finish點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本第四章Web漏洞檢測(cè)工具簡(jiǎn)介練習(xí)：使用AWVS工具對(duì)網(wǎng)站進(jìn)行掃描。AWVS新建掃描任務(wù)-練習(xí)點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本第四章Web漏洞檢測(cè)工具簡(jiǎn)介WVS掃描完成后，可以很直觀的看到掃描出的網(wǎng)站漏洞數(shù)量、漏洞類型等信息。點(diǎn)擊掃描結(jié)果的節(jié)點(diǎn)，可以查看漏洞詳情。AWVS掃描結(jié)果點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本第四章Web漏洞檢測(cè)工具簡(jiǎn)介我們可以將掃描的結(jié)果進(jìn)行保存。點(diǎn)擊工具欄中的保存（Savescanresults）按鈕，可以將掃描結(jié)果保存為一個(gè).wvs文件，該文件可以通過(guò)wvs工具打開，并查看詳細(xì)信息。AWVS掃描結(jié)果保存點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本目錄01020304AppScan使用AppScan介紹AWVS使用

AWVS介紹第四章Web漏洞檢測(cè)工具簡(jiǎn)介點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本第四章Web漏洞檢測(cè)工具簡(jiǎn)介Appscan是一個(gè)領(lǐng)先的Web應(yīng)用安全測(cè)試工具，曾以WatchfireAppScan的名稱享譽(yù)業(yè)界。IBMSecurityAppScan可自動(dòng)化Web應(yīng)用的安全漏洞評(píng)估工作，能掃描和檢測(cè)所有常見的Web應(yīng)用安全漏洞，例如SQL注入（SQL-injection）、跨站點(diǎn)腳本攻擊（cross-sitescripting）、緩沖區(qū)溢出（bufferoverflow）及最新的Flash/Flex應(yīng)用及Web2.0應(yīng)用暴露等方面安全漏洞的掃描。AppScan介紹點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本目錄01020304AppScan使用AppScan介紹AWVS使用

AWVS介紹第四章Web漏洞檢測(cè)工具簡(jiǎn)介點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本第四章Web漏洞檢測(cè)工具簡(jiǎn)介啟動(dòng)AppScan，進(jìn)入AppScan主界面AppScan首頁(yè)點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本第四章Web漏洞檢測(cè)工具簡(jiǎn)介第一步：點(diǎn)擊創(chuàng)建新的掃描——>選擇常規(guī)掃描，并啟動(dòng)掃描配置向?qū)?。AppScan掃描點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本第四章Web漏洞檢測(cè)工具簡(jiǎn)介第二步：選擇Web應(yīng)用程序掃描，對(duì)AppScan提供的DEMO網(wǎng)站“”進(jìn)行掃描。如果要使用代理，則勾選“我需要配置其他連接設(shè)置（代理、平臺(tái)認(rèn)證）”。AppScan掃描點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本第四章Web漏洞檢測(cè)工具簡(jiǎn)介第三步：在登錄界面中可以進(jìn)行預(yù)登錄操作，AppScan提供了以下四個(gè)選項(xiàng)：記錄：使用預(yù)登錄操作，直接保存登錄信息。提示：當(dāng)AppScan檢測(cè)到from表單時(shí)，將會(huì)提示填寫登錄信息。自動(dòng)：直接填寫登錄信息，當(dāng)AppScan檢測(cè)到from表單時(shí)，按照填寫的信息自動(dòng)填寫。無(wú)：不登錄默認(rèn)選擇“無(wú)”，選擇好登錄方式后，繼續(xù)下一步，可看到測(cè)試策略界面。AppScan掃描點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本第四章Web漏洞檢測(cè)工具簡(jiǎn)介第四步：在測(cè)試策略區(qū)域可以選擇測(cè)試的策略。默認(rèn)情況下，將會(huì)使用除侵入式測(cè)試以外的所有測(cè)試，這里選擇默認(rèn)值，也可根據(jù)需要來(lái)指定策略。選擇完成后，繼續(xù)下一步操作，進(jìn)入掃描配置向?qū)?。在掃描配置向?qū)K，提供了以下四種掃描方式：?jiǎn)?dòng)全面自動(dòng)掃描僅使用自動(dòng)探測(cè)啟動(dòng)使用手動(dòng)探測(cè)啟動(dòng)我將稍后啟動(dòng)掃描AppScan掃描點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本第四章Web漏洞檢測(cè)工具簡(jiǎn)介第五步：選擇完掃描方式后，（默認(rèn)選擇“啟動(dòng)全面自動(dòng)掃描”）勾選“完成掃描后啟動(dòng)掃描專家”。點(diǎn)擊“完成”，AppScan會(huì)提示保存，默認(rèn)以.Scan文件類型保存至自定義的文件中。需要再次查看，可直接雙擊打開。掃描專家評(píng)估可以對(duì)Web應(yīng)用程序進(jìn)行一個(gè)簡(jiǎn)短的掃描，以評(píng)估配置的效率。在簡(jiǎn)短的掃描結(jié)束后，掃描專家會(huì)建議“應(yīng)用建議”或“忽略所有”，對(duì)掃描專家的建議，可以選擇應(yīng)用建議，也可以直接關(guān)閉拒絕掃描專家的建議。AppScan掃描點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本第四章Web漏洞檢測(cè)工具簡(jiǎn)介第六步：掃描完成后，在界面處直接顯示掃描的結(jié)果，包含漏洞名稱、漏洞信息、漏洞統(tǒng)計(jì)等。AppScan掃描點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本第四章Web漏洞檢測(cè)工具簡(jiǎn)介AppScan掃描完畢后，可以將完整的掃描結(jié)果導(dǎo)出。導(dǎo)出結(jié)果分以下兩種形式：導(dǎo)出XML文件導(dǎo)出關(guān)系型數(shù)據(jù)庫(kù)AppScan也可以對(duì)完整的掃描進(jìn)行保存，選擇“文件”-->“保存”，將完整的掃描結(jié)果保存為以“.scan”為后綴的文件，該文件可直接雙擊打開，打開后即可看到完整的掃描信息。AppScan結(jié)果處理點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊