Web安全课程设计第四章

Web安全课程设计第四章Web漏洞检测工具简介点击添加文本点击添加文本点击添加文本点击添加文本目录01020304AppScan使用AppScan介绍AWVS使用

AWVS介绍第四章Web漏洞检测工具简介点击添加文本点击添加文本点击添加文本点击添加文本第四章Web漏洞检测工具简介WVS(WebVulnerabilityScanner)是一个自动化的Web应用程序安全测试工具，它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序。适用于任何中小型和大型企业的内联网、外延网和面向客户、雇员、厂商和其它人员的Web网站。AWVS介绍点击添加文本点击添加文本点击添加文本点击添加文本第四章Web漏洞检测工具简介WVS的主要特点：自动的客户端脚本分析器，允许对Ajax和Web2.0应用程序进行安全性测试。业内最先进且深入的SQL注入和跨站脚本测试。高级渗透测试工具，例如HTTPEditor和HTTPFuzzer。可视化宏记录器帮助您轻松测试web表格和受密码保护的区域。支持含有CAPTHCA的页面，单个开始指令和TwoFactor（双因素）验证机制。丰富的报告功能，包括VISAPCI依从性报告。高速的多线程扫描器轻松检索成千上万个页面。智能爬行程序检测web服务器类型和应用程序语言。Acunetix检索并分析网站，包括flash内容、SOAP和AJAX。端口扫描web服务器并对在服务器上运行的网络服务执行安全检查。可导出网站漏洞文件。AWVS特点点击添加文本点击添加文本点击添加文本点击添加文本目录01020304AppScan使用AppScan介绍AWVS使用

AWVS介绍第四章Web漏洞检测工具简介点击添加文本点击添加文本点击添加文本点击添加文本第四章Web漏洞检测工具简介第一步：双击打开AWVS界面图标，进入AWVS主界面，如图所示：AWVS界面点击添加文本点击添加文本点击添加文本点击添加文本第四章Web漏洞检测工具简介第二步：点击主界面左上角的“NewScan”,创建新的扫描任务，在“Scansinglewebsite”处填写需要扫描的网站URL，此处扫描仅针对单个域名进行扫描。AWVS新建扫描任务点击添加文本点击添加文本点击添加文本点击添加文本第四章Web漏洞检测工具简介AWVS新建扫描任务-Options第三步：设置扫描选项，AWVS可针对不同类型的漏洞进行专项扫描，如：BlindSQLInjection、CSRF、XSS、File_Upload等，也可针对全部类型漏洞进行扫描，选中“Default”。点击添加文本点击添加文本点击添加文本点击添加文本第四章Web漏洞检测工具简介AWVS新建扫描任务-Target第四步：创建任务。此处会探测被扫描网站的域名是否可访问、扫描的Base路径、使用的中间件类型、使用的WEB脚本语言类型。点击添加文本点击添加文本点击添加文本点击添加文本第四章Web漏洞检测工具简介第五步：登录设置。扫描过程中会发现有些网站中存在登录页面，此时可以点击“NewLoginSequence”登录指定页面，登陆后，WVS会保存登录信息。如果此步骤默认，WVS在扫描出登录页面后，会提示进行登录AWVS新建扫描任务-Login点击添加文本点击添加文本点击添加文本点击添加文本第四章Web漏洞检测工具简介第六步：完成创建。以上五步设置完成后，点击“Finish”完成创建任务，开始扫描。AWVS新建扫描任务-Finish点击添加文本点击添加文本点击添加文本点击添加文本第四章Web漏洞检测工具简介练习：使用AWVS工具对网站进行扫描。AWVS新建扫描任务-练习点击添加文本点击添加文本点击添加文本点击添加文本第四章Web漏洞检测工具简介WVS扫描完成后，可以很直观的看到扫描出的网站漏洞数量、漏洞类型等信息。点击扫描结果的节点，可以查看漏洞详情。AWVS扫描结果点击添加文本点击添加文本点击添加文本点击添加文本第四章Web漏洞检测工具简介我们可以将扫描的结果进行保存。点击工具栏中的保存（Savescanresults）按钮，可以将扫描结果保存为一个.wvs文件，该文件可以通过wvs工具打开，并查看详细信息。AWVS扫描结果保存点击添加文本点击添加文本点击添加文本点击添加文本目录01020304AppScan使用AppScan介绍AWVS使用

AWVS介绍第四章Web漏洞检测工具简介点击添加文本点击添加文本点击添加文本点击添加文本第四章Web漏洞检测工具简介Appscan是一个领先的Web应用安全测试工具，曾以WatchfireAppScan的名称享誉业界。IBMSecurityAppScan可自动化Web应用的安全漏洞评估工作，能扫描和检测所有常见的Web应用安全漏洞，例如SQL注入（SQL-injection）、跨站点脚本攻击（cross-sitescripting）、缓冲区溢出（bufferoverflow）及最新的Flash/Flex应用及Web2.0应用暴露等方面安全漏洞的扫描。AppScan介绍点击添加文本点击添加文本点击添加文本点击添加文本目录01020304AppScan使用AppScan介绍AWVS使用

AWVS介绍第四章Web漏洞检测工具简介点击添加文本点击添加文本点击添加文本点击添加文本第四章Web漏洞检测工具简介启动AppScan，进入AppScan主界面AppScan首页点击添加文本点击添加文本点击添加文本点击添加文本第四章Web漏洞检测工具简介第一步：点击创建新的扫描——>选择常规扫描，并启动扫描配置向导。AppScan扫描点击添加文本点击添加文本点击添加文本点击添加文本第四章Web漏洞检测工具简介第二步：选择Web应用程序扫描，对AppScan提供的DEMO网站“”进行扫描。如果要使用代理，则勾选“我需要配置其他连接设置（代理、平台认证）”。AppScan扫描点击添加文本点击添加文本点击添加文本点击添加文本第四章Web漏洞检测工具简介第三步：在登录界面中可以进行预登录操作，AppScan提供了以下四个选项：记录：使用预登录操作，直接保存登录信息。提示：当AppScan检测到from表单时，将会提示填写登录信息。自动：直接填写登录信息，当AppScan检测到from表单时，按照填写的信息自动填写。无：不登录默认选择“无”，选择好登录方式后，继续下一步，可看到测试策略界面。AppScan扫描点击添加文本点击添加文本点击添加文本点击添加文本第四章Web漏洞检测工具简介第四步：在测试策略区域可以选择测试的策略。默认情况下，将会使用除侵入式测试以外的所有测试，这里选择默认值，也可根据需要来指定策略。选择完成后，继续下一步操作，进入扫描配置向导。在扫描配置向导模块，提供了以下四种扫描方式：启动全面自动扫描仅使用自动探测启动使用手动探测启动我将稍后启动扫描AppScan扫描点击添加文本点击添加文本点击添加文本点击添加文本第四章Web漏洞检测工具简介第五步：选择完扫描方式后，（默认选择“启动全面自动扫描”）勾选“完成扫描后启动扫描专家”。点击“完成”，AppScan会提示保存，默认以.Scan文件类型保存至自定义的文件中。需要再次查看，可直接双击打开。扫描专家评估可以对Web应用程序进行一个简短的扫描，以评估配置的效率。在简短的扫描结束后，扫描专家会建议“应用建议”或“忽略所有”，对扫描专家的建议，可以选择应用建议，也可以直接关闭拒绝扫描专家的建议。AppScan扫描点击添加文本点击添加文本点击添加文本点击添加文本第四章Web漏洞检测工具简介第六步：扫描完成后，在界面处直接显示扫描的结果，包含漏洞名称、漏洞信息、漏洞统计等。AppScan扫描点击添加文本点击添加文本点击添加文本点击添加文本第四章Web漏洞检测工具简介AppScan扫描完毕后，可以将完整的扫描结果导出。导出结果分以下两种形式：导出XML文件导出关系型数据库AppScan也可以对完整的扫描进行保存，选择“文件”-->“保存”，将完整的扫描结果保存为以“.scan”为后缀的文件，该文件可直接双击打开，打开后即可看到完整的扫描信息。AppScan结果处理点击添加文本点击添加文本点击添加文本点击