AppScan是IBM公司出的一款web安全测试工具,AppScan采用黑盒测试的方式,可以扫描出常见的web应用安全漏洞。
所以,简言之,AppScan 的核心是提供一个扫描规则库,然后利用自动化的“探索”技术得到众多的页面和页面参数,进而对这些页面和页面参数进行安全性测试。“扫描规则库”,“探索”,“测试”就构成了 AppScan 的核心三要素。而在安全扫描过程中,如何进行优化,就要结合这三个要素,看哪些部分需要优化,应该如何优化。
同时,对于 AppScan 标准版来说,扫描的配置和结果信息都保存为后缀名为 Scan 文件,Scan 文件里面主要包括的内容如下:
** *AppScan 扫描的对象是网站等 Web 应用,而网站规模的大小和使用的技术,都需要针对性的进行扫描设置。AppScan都是在扫描规模比较大(一两百个站点)的网站时候使用的。在扫描这样的网站时候,默认情况下 AppScan 的扫描 scan 文件可能超过 100M 了,扫描效率就可能比较慢,需要长时间的扫描运行时间。 ***
AWVS(Acunetix Web Vulnerability Scanner)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞。AWVS可以扫描通过web浏览器访问和遵循HTTP/https规则的web站点。
可以通过扫描漏洞,比如:SQL注入攻击、跨站脚本攻击等检测我们网站是否是安全的。
Windows版本下载地址(包含AWVS11版本+AWVS10.5版本):(笔者搬运而来)
百度网盘链接:https://pan.baidu.com/s/1C15VCFxp1KfTpCxWn4tRWw 提取码:1i73
解压密码:www.fujieace.com
以安装AWVS11版本为例子,具体步骤如下:
1、双击exe安装
18. 点击“next”
其实AWVS使用很简单,由于AWVS11.x及以上版本都是以网页的形式展示的,虽然说是英文的,不过没关系,我们完全可以用“网页翻译”插件直动翻译成中文,那样使用起来就简单多了,大家一看就能明白。
1、打开 https://localhost:3443/ ,输入用户名和密码;
7. 添加一个目标网站,然后扫描就可以了