admin管理员组文章数量:1532144
2024年3月21日发(作者:)
1. appscan是一个web应用安全测试工具。
2. web攻击的类型比如:
跨站脚本攻击:为了搜集用户信息,攻击者通常会在有漏洞的程序中插入
JavaScript、VBScript、 ActiveX或Flash以欺骗用户,达到盗取用户帐户,修改用户设
置,盗取/污染cookie,做虚假广告等目的。如注入一个JavaScript弹出式的警告框:alert(1)
消息泄露:web应用程序在处理用户错误请求时,程序在抛出异常的时候给出了比
较详细的内部错误信息,而暴露了不应该显示的执行细节,如文件路径、数据库信息、中
间件信息、ip地址等
SQL注入:将SQL命令人为地输入到URL、表格域、或者其他动态生成的SQL查
询语句的输入中,完成SQL攻击。以达到绕过认证、添加、删除、修改数据等目的。如sql
查询代码为:
strSQL = "SELECT * FROM users WHERE (name = '" + userName + "') and (pw = '"
+ passWord +"');"
改为:
strSQL = "SELECT * FROM users WHERE (name = '1' OR '1'='1') and (pw = '1' OR '
1'='1');"
达到无账号密码,亦可登录网站。
3. appscan使用步骤:总的来说,就是指定要扫描的URL-选择测试策略-执行扫描
探索-执行测试-结果分析。
1) 选择测试策略,文件-新建-选择一个模板“常规扫描”
2) 出现扫描配置向导页面,这里是选择“AppScan(自动或手动)“,如图:
版权声明:本文标题:appscan工具简述 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dongtai/1711001820a294558.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论