安全測試工具appscan的安裝與使用_第1頁
安全測試工具appscan的安裝與使用_第2頁
安全測試工具appscan的安裝與使用_第3頁
安全測試工具appscan的安裝與使用_第4頁
安全測試工具appscan的安裝與使用_第5頁
已閱讀5頁,還剩20頁未讀 繼續免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、一、為什么要有安全性測試? 1.關于數據庫。SQL盲注高手可能會通過盲注讓數據庫中的相關信息。 2.關于權限。不同身份的人有著不同的權限,如淘寶賣家和買家。如果不進行安全測試,可能會使買家跳出權限做賣家的事。二、AppScan IBM Rational AppScan Standard Edition 是一種自動化 Web 應用程序安全性測試引擎,能夠連續、自動地審查 Web 應用程序、測試安全性問題,并生成包含修訂建議的行動報告,簡化補救過程。 在商業安全掃描工具中,提供簡體中文支持的,目前也只有AppScan一個。 下載:51testing三、軟件安裝 1.可能需要聯網下載必要的插件 2.

2、基本可以按安裝向導進行,需要注意的是最后安裝完成后需要將安裝包中的“LicenseProvider.dll”復制粘貼到appscan安裝路徑“.IBMAppScan Standard”目錄下同名文件,否則在使用時一直會提示安裝許可證,導致軟件無法正常使用四、使用打開appscan出現如下所下界面,選擇“創建新的掃描”2.選擇常規掃描3.選擇“下一步”4.輸入要掃描的網站URL,點擊“下一步”5.登錄管理。選擇“記錄”,點擊“下一步”6.選擇是“是”7.測試策略。我選擇的是“缺省值”補充:各類策略的說明8.完成配置向導。選擇“啟動全盤掃描”9.自動保存10.軟件界面初步探測完成,接下來繼續進行全

3、盤掃描繼續全盤掃描 掃描完成后可打印安全報告。“安全報告”會提供掃描期間發現的安全問題信息。 我們可以通過最后的掃描結果和安全報告了解到存在的問題及問題介紹等信息。一個檢測SQL注入的工具:pangolin注入往往是應用程序缺少對輸入進行安全性檢查所引起的,攻擊者把一些包含指令的數據發送給解釋器,解釋器會把收到的數據轉換成指令執行。常見的注入包括SQL注入,OS Shell,LDAP,Xpath,Hibernate等等,而其中SQL注入尤為常見。這種攻擊所造成的后果往往很大,一般整個數據庫的信息都能被讀取或篡改,通過SQL注入,攻擊者甚至能夠獲得更多的包括管理員的權限。在中輸入site: in

4、url:login 關鍵字搜索得到后臺的URL,如下圖所示一個存在SQL注入點的頁面進入后的頁面根據下圖標注,可以猜出其大概SQL語句類似于SELECT *FROM users where username=? AND password=? 類似于上述的驗證語句是很危險的,因為可以通過構造特殊的變量值使得該查詢條件表達式永遠為真。Eg:輸入如下的內容Username: admin OR1Password: test OR1此時再次登錄,也會成功登錄進入網站后臺,如下圖所示分析登陸成功的原因是因為驗證SQL變成Select *from users where usrname=admin OR 1 and pa

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論