毕业已经一年多了,这一年多,一直都对安全方面的知识感兴趣。但是感觉网上资料真的很少,也瞎折腾过不少工具(AppScan、BurpSuite、Sqlmap、nmap等),却感觉与印象中的“安全测试”相差甚远,觉得自己一直徘徊在这扇门的前面而不得入,身边的朋友做安全这方面的几乎没有。以下是一些瞎整理的东 ...
分类:
其他好文 时间:
2017-10-11 23:50:43
阅读次数:
168
一、安装 1、右键安装文件,以管理员身份运行,如下图所示: 2、点击【确定】 3、点击【安装】 4、选择:我接受许可协议中单位全部条款,点击【下一步】 5、点击【安装】到该目录 6、如果需求扫描Web services点击【是】安装该插件,如果不需要点击【否】如果只是扫描web就不需要安装 7、点击 ...
分类:
移动开发 时间:
2017-09-21 22:24:34
阅读次数:
322
今天测试用IBM的AppScan,对系统进行测试,发现了系统的安全漏洞,分别是SQL盲注和跨站脚本攻击,这两种安全隐患都是利用参数传递的漏洞趁机对系统进行攻击。截图如下: 解决方案(参考网上的例子):自己写一个 Filter,使用 Filter 来过滤浏览器发出的请求。对每个 post 请求的参数过 ...
分类:
数据库 时间:
2017-08-10 14:15:35
阅读次数:
1664
appscan只要关注应用层的安全问题一,appscan扫描1,白盒扫描=静态扫描,扫描源代码。2,动态扫描=黑盒扫描,用工具来模拟黑客的攻击,查看应用层的响应。产品内部会有大量受攻击的库,当我们把一个模拟攻击发给我们的应用的时候,然后用工具来分析响应。二,AppScan Web应用扫描流程 三,自 ...
分类:
移动开发 时间:
2017-07-28 11:43:22
阅读次数:
264
一、打开AppScan,选择外部设备/客户机,点击下一步 二、记录代理设置,可以手动输入需要的端口号,也可以自动选择,记住端口号以及PC电脑的ip地址,手机端如何设置对应的端口跟ip可以参考 Jmeter(十三)用Jmeter自带录制工具代理录制手机端应用脚本APP脚本,原理是一样的 三、SSL证书 ...
分类:
微信 时间:
2017-07-06 12:12:23
阅读次数:
1349
事先声明:只是浅谈,我也之用了这个组件的一点点。 又到某重要XX时期(但愿此文给面临此需求的同仁有所帮助),某Web应用第一次面临安全加固要求,AppScan的安全测试报告还是很清爽的,内容全面,提示建议到位,而且是中午哦,当然有的中文明显狗屁不通。 之前此应用的后端架构相对比较稳固,所以出的重要问 ...
分类:
编程语言 时间:
2017-07-02 11:35:27
阅读次数:
420
Linux安装应用程序提示Graphical installers are not supported by the vm Technote (troubleshooting) Problem(Abstract) Attempts to install IBM Security AppScan So ...
分类:
系统相关 时间:
2017-07-01 01:01:06
阅读次数:
1014
1. http://blog.csdn.net/xiaomin1991222/article/details/50979566 AppScan安全漏洞解决方案 2.http://dxx23.iteye.com/blog/1631962 AppScan安全漏洞报告 ...
分类:
Web程序 时间:
2017-06-29 17:53:17
阅读次数:
194
Rational AppScan(简称 AppScan)其实是一个产品家族,包括众多的应用安全扫描产品,从开发阶段的源代码扫描的 AppScan source edition,到针对 Web 应用进行快速扫描的 AppScan standard edition,以及进行安全管理和汇总整合的 AppS ...
分类:
移动开发 时间:
2017-06-29 17:30:15
阅读次数:
25125
