appscan

【AppScan深入浅出】修复漏洞:启用不安全的HTTP方法 (中)

谁说我不能喝 提交于 2020-03-20 13:37:19
3 月,跳不动了?>>> 最近一直刷新AppScan的下限,对于Appscan报出的中危漏洞“启用不安全的HTTP方法”。分析了其扫描机制,以及处理方法和绕开方法。如果不耐烦看分析过程,请直接跳到文章最后看处理方法。 0. 漏洞背景 “启用了不安全的 HTTP 方法”属于“中”危漏洞。漏洞描述是:根据 APPSCAN 的报告 , APPSCAN 通过 OPTIONS 请求,当响应中发现 DELETE 、 SEARCH 、 COPY 等方法为允许方法时,则认为是漏洞。 详见下图: Web 服务器(以 IIS 为例)在没有任何设置是,使用 OPTIONS 命令,可以返回所有能够响应的 HTTP 方法,如 OPTIONS, TRACE, GET, HEAD, COPY, PROPFIND, SEARCH, LOCK, UNLOCK 。 发送OPTIONS请求:(使用telnet或者secureCRT等软件): 服务器响应可以使用的 HTTP 方法,见 Allow 部分。 1. 实验环境 Web 服务器环境: IIS6 。站点结构如下,使用了主机头 myapp.com 指向了我的测试应用 app 。 配置只有读取权限,还有执行权限设置为“纯脚本”。 2. 实验 实验1:裸实验 未启用WebDav,OPTIONS命令的返回中,只显示只有OPTION、TRACE、GET、HEAD和POST。

IBM Appscan基本操作手册

雨燕双飞 提交于 2020-03-13 12:44:34
一、操作前提 1.首先下载Appscan的安装包 2.安装Appscan 二、操作流程 1.双击 图标,打开Appscan软件 2.打开软件后,页面显示如下: 3.选择“文件-新建”,弹出如下的窗口: 4.点击“常规扫描”,页面如下: 5.选择“Appscan(自动或手动)”,点击下一步,如图: 6.在“起始URL”处输入将要扫描的系统的URL,点击下一步,如图: 7.选择“自动”,输入用户名和密码,如图: 8.点击下一步,如图: 9.默认,点击下一步,如图:   注: 一般常用的是“启动全面自动扫描”和“使用“手动探索”启动”,二者区别如下:   1)启动全面自动扫描:工具自动对系统进行扫描,扫描完毕后会显示扫描结果。不过使用此种方式扫描不全,类似插件的模块扫描不到。   2)使用“手动探索”启动:测试人员可以自由灵活的对所有模块进行扫描操作,扫描结果更加细致。下面以手动探索为例。 10.选择 “使用“手动探索”启动 ,点击完成。通过浏览器打开扫描的页面,如下: 11.进行测试操作,录制脚本,脚本录制完毕后,关闭浏览器。Appscan页面显示录制的脚本信息,如下图: 12.点击“导出”按钮,保存录制的脚本,关闭窗口。点击“文件-导入-探索数据”,选择刚才录制的脚本。 13.脚本添加完毕,如下图: 14.点击“扫描-继续仅探索” 15.弹出如下窗口: 16.选择“是”

如何选择黑盒测试工具

独自空忆成欢 提交于 2020-02-26 13:13:38
关于黑盒,个人认为还是首先考虑是私用还是商用。 私用的话去找一些开源的工具就好,像OWASP ZAP、Arachni、Wfuzz、Nikto这几个都是免费开源的。 商用的话就比较特殊,需要考量的因素比较多(当然也比较贵),除了规则库、准确率、误报率、效率、稳定性以外,合规也是非常重要的因素(当了多年甲方运维狗已经被合规搞怕了/哈哈)。 商用给你推荐的话,当然是 曾以 Watchfire AppScan 的名称享誉业界的AppScan,当年IBM收购了这条产品线以后更名为IBM Rational AppScan,可想而知,能被IBM看上的都不是省油的灯。之后,IBM的Web系统在上线之前,必须要通过公司的安全扫描,执行这个扫描任务的就是著名的Appscan。 这个软件能构造各种各样的输入, 模拟各种黑客的攻击,发现Web系统的各种漏洞: SQL注入,XSS,CSRF,Session Fixation等等, 非常强大,是Web系统安全探测好助手,后来还出了一个SaaS版。 直到2018年12月IBM的几大软件被HCL所收购,这让我挺震惊的,因为这些软件我很熟悉,有些还是经常使用的,其中一个就是 Appscan,2020年初HCL还更新了AppScan,功能更强大了。 换了东家之后,价格倒是提升了不少,但是市场占有率还是稳居第一,性能方面更没得说

Appscan漏洞之Authentication Bypass Using HTTP Verb Tampering

空扰寡人 提交于 2019-12-01 16:32:04
本次针对 Appscan漏洞 Authentication Bypass Using HTTP Verb Tampering(HTTP动词篡改导致的认证旁路) 进行总结,如下: 1. Authentication Bypass Using HTTP Verb Tampering 1.1、攻击原理   不安全的HTTP方法PUT/DELETE/MOVE/COPY/TRACE/PROPFIND/PROPPATCH/MKCOL/LOCK/UNLOCK允许攻击者修改web服务器文件、删除web页面、甚至上传web shell获取用户的身份信息等,它们都有可能制造出严重的安全漏洞,开发人员需要对HTTP请求类型进行控制,防止服务器资源被非授权篡改。 1.2、案例分析   APPSCAN用无意义的HTTP动词 bogus 向服务端发起请求,系统正常返回,显示此系统未对http请求类型进行判断限制,存在HTTP动词篡改漏洞。 BOGUS /fams/admin/j_security_check HTTP/1.1 Accept-Language: en-US Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Referer: http://xxx-core-stg1.paic.com.cn/fams/

Appscan的安装破解以及使用

只谈情不闲聊 提交于 2019-11-30 09:51:20
本文简单介绍Appscan的安装和使用。 一、下载安装 可自行百度下载相关安装包(因较高版本的破解资料比较难找,建议下载9.0版本)。 双击.exe安装文件进行安装,在弹出的安装指引中各选项默认安装即可,也可自行修改安装路径,直到安装完成。 二、破解 将破解文件LicenseProvider.dll复制替换到Appscan的安装目录下的同名文件,破解完成。【 PS:许可证处还是显示演示许可证,但扫描目标已经不受限制 】 三、使用 完成软件的安装破解,即可进行系统软件的安全扫描。 因扫描过程会产生大量脏数据,因此建议在测试环境进行 。 3.1 启动软件 开始-程序 -IBM security AppScan Standard,或双击桌面快捷方式 3.2 安全扫描步骤 3.2.1 点击“文件”新建“常规扫描” 3.2.2 设置扫描向导,默认即可 3.2.3 输入扫描地址,一般需要勾选仅扫描此目录或目录下的链接 3.2.4 设置登录管理,登录方法选自动,填写登录账号和密码 3.2.5 设置测试策略,一般选择缺省值 3.2.6 完成扫描设置 3.2.7 开始扫描 初步扫描完成后,需点击“继续完全扫描” 3.2.7 扫描完成 四、安全测试报告 扫描完成之后,需要提供测试报告作为修复安全漏洞参考依据 根据需要,勾选相关的报告内容 点击“保存报告”,可生成一个详细的PDF格式的安全测试报告