Web安全课程设计第四章.ppt

《Web安全课程设计第四章.ppt》由会员分享，可在线阅读，更多相关《Web安全课程设计第四章.ppt（27页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 Web安全课程设计第四章 Web漏洞检测工具简介目录01020304AppScanAppScan使用使用AppScanAppScan介绍介绍AWVSAWVS使用使用AWVSAWVS介绍介绍第四章 Web漏洞检测工具简介第四章 Web漏洞检测工具简介 WVS(Web Vulnerability Scanner)是一个自动化的Web应用程序安全测试工具，它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和 Web应用程序。适用于任何中小型和大型企业的内联网、外延网和面向客户、雇员、厂商和其它人员的Web网站。AWVS介绍第四章 Web漏洞检测工具简介WVS的主要特点

2、：u自动的客户端脚本分析器，允许对Ajax和Web2.0应用程序进行安全性测试。u业内最先进且深入的SQL注入和跨站脚本测试。u高级渗透测试工具，例如HTTPEditor和HTTPFuzzer。u可视化宏记录器帮助您轻松测试web表格和受密码保护的区域。u支持含有CAPTHCA的页面，单个开始指令和TwoFactor（双因素）验证机制。u丰富的报告功能，包括VISAPCI依从性报告。u高速的多线程扫描器轻松检索成千上万个页面。u智能爬行程序检测web服务器类型和应用程序语言。uAcunetix检索并分析网站，包括flash内容、SOAP和AJAX。u端口扫描web服务器并对在服务器上运行的网络

3、服务执行安全检查。u可导出网站漏洞文件。AWVS特点目录01020304AppScanAppScan使用使用AppScanAppScan介绍介绍AWVSAWVS使用使用AWVSAWVS介绍介绍第四章 Web漏洞检测工具简介第四章 Web漏洞检测工具简介第一步：双击打开AWVS界面图标，进入AWVS主界面，如图所示：AWVS界面第四章 Web漏洞检测工具简介第二步：点击主界面左上角的“New Scan”,创建新的扫描任务，在“Scan single website”处填写需要扫描的网站URL，此处扫描仅针对单个域名进行扫描。AWVS新建扫描任务第四章 Web漏洞检测工具简介AWVS新建扫描任务-

4、Options第三步：设置扫描选项，AWVS可针对不同类型的漏洞进行专项扫描，如：Blind SQL Injection、CSRF、XSS、File_Upload等，也可针对全部类型漏洞进行扫描，选中“Default”。第四章 Web漏洞检测工具简介AWVS新建扫描任务-Target第四步：创建任务。此处会探测被扫描网站的域名是否可访问、扫描的Base路径、使用的中间件类型、使用的WEB脚本语言类型。第四章 Web漏洞检测工具简介第五步：登录设置。扫描过程中会发现有些网站中存在登录页面，此时可以点击“New Login Sequence”登录指定页面，登陆后，WVS会保存登录信息。如果此步骤默

5、认，WVS在扫描出登录页面后，会提示进行登录AWVS新建扫描任务-Login第四章 Web漏洞检测工具简介第六步：完成创建。以上五步设置完成后，点击“Finish”完成创建任务，开始扫描。AWVS新建扫描任务-Finish第四章 Web漏洞检测工具简介练习：使用AWVS工具对网站http:/进行扫描。AWVS新建扫描任务-练习第四章 Web漏洞检测工具简介WVS扫描完成后，可以很直观的看到扫描出的网站漏洞数量、漏洞类型等信息。点击扫描结果的节点，可以查看漏洞详情。AWVS扫描结果第四章 Web漏洞检测工具简介我们可以将扫描的结果进行保存。点击工具栏中的保存（Save scan results）

6、按钮，可以将扫描结果保存为一个.wvs文件，该文件可以通过wvs工具打开，并查看详细信息。AWVS扫描结果保存目录01020304AppScanAppScan使用使用AppScanAppScan介绍介绍AWVSAWVS使用使用AWVSAWVS介绍介绍第四章 Web漏洞检测工具简介第四章 Web漏洞检测工具简介 Appscan是一个领先的 Web 应用安全测试工具，曾以 Watchfire AppScan 的名称享誉业界。IBM Security AppScan 可自动化 Web 应用的安全漏洞评估工作，能扫描和检测所有常见的 Web 应用安全漏洞，例如 SQL 注入（SQL-injection

7、）、跨站点脚本攻击（cross-site scripting）、缓冲区溢出（buffer overflow）及最新的 Flash/Flex 应用及 Web 2.0 应用暴露等方面安全漏洞的扫描。AppScan介绍目录01020304AppScanAppScan使用使用AppScanAppScan介绍介绍AWVSAWVS使用使用AWVSAWVS介绍介绍第四章 Web漏洞检测工具简介第四章 Web漏洞检测工具简介启动AppScan，进入AppScan主界面AppScan首页第四章 Web漏洞检测工具简介第一步：点击创建新的扫描选择常规扫描，并启动扫描配置向导。AppScan扫描第四章 Web漏洞检

8、测工具简介第二步：选择Web 应用程序扫描，对AppScan提供的DEMO网站“”进行扫描。如果要使用代理，则勾选“我需要配置其他连接设置（代理、平台认证）”。AppScan扫描第四章 Web漏洞检测工具简介第三步：在登录界面中可以进行预登录操作，AppScan提供了以下四个选项：u记录：使用预登录操作，直接保存登录信息。u提示：当AppScan检测到from表单时，将会提示填写登录信息。u自动：直接填写登录信息，当AppScan检测到from表单时，按照填写的信息自动填写。u无：不登录默认选择“无”，选择好登录方式后，继续下一步，可看到测试策略界面。AppScan扫描第四章 Web漏洞检测工

9、具简介第四步：在测试策略区域可以选择测试的策略。默认情况下，将会使用除侵入式测试以外的所有测试，这里选择默认值，也可根据需要来指定策略。选择完成后，继续下一步操作，进入扫描配置向导。在扫描配置向导模块，提供了以下四种扫描方式：u启动全面自动扫描u仅使用自动探测启动u使用手动探测启动u我将稍后启动扫描AppScan扫描第四章 Web漏洞检测工具简介第五步：选择完扫描方式后，（默认选择“启动全面自动扫描”）勾选“完成扫描后启动扫描专家”。点击“完成”，AppScan会提示保存，默认以.Scan文件类型保存至自定义的文件中。需要再次查看，可直接双击打开。扫描专家评估可以对Web应用程序进行一个简短的

10、扫描，以评估配置的效率。在简短的扫描结束后，扫描专家会建议“应用建议”或“忽略所有”，对扫描专家的建议，可以选择应用建议，也可以直接关闭拒绝扫描专家的建议。AppScan扫描第四章 Web漏洞检测工具简介第六步：扫描完成后，在界面处直接显示扫描的结果，包含漏洞名称、漏洞信息、漏洞统计等。AppScan扫描第四章 Web漏洞检测工具简介AppScan扫描完毕后，可以将完整的扫描结果导出。导出结果分以下两种形式：u导出XML文件u导出关系型数据库AppScan也可以对完整的扫描进行保存，选择“文件”-“保存”，将完整的扫描结果保存为以“.scan”为后缀的文件，该文件可直接双击打开，打开后即可看到完整的扫描信息。AppScan结果处理第四章 Web漏洞检测工具简介AppScan也支持生成报告，选择“工具”-“报告”后,创建报告，在“报告类型”中选择对应的报告模版，在“布局”中也可以填写报告标题、描述等信息。AppScan支持PDF、HTML、TXT、RTF格式。AppScan结果处理第四章 Web漏洞检测工具简介Q&AQ&A