我是草台班子的一根草,领导要我搞安全我就搞安全,于是上手 appscan ,然后各种问题:
目标情况:需要扫描指定的 web 应用程序安全情况,不需要做攻击,有前端登录地址及测试账号密码。需要输出安全报告。
问题 1:自己的 win11 电脑上破解版装不上,直到我换成了一台公用的 win10 ,撞上了破解的 10.6 版。 现象:先是破解版的 10.4 ,dll 替换不生效,后面是自己 win11 装 10.6 ,Standard_GO.exe ,结果一直提示找不到 appscn 程序。哪位有比较新的破解版?
问题 2:appscan 检测到其已不在会话环境中,登录检查失败: 现象:使用基于操作的登录配置,在检测时提示检测到其已不在会话环境中,扫描失败。我打开了 fiddler 浏览请求情况,实际上接口是正常加载的,然后 appscan 这边就反复重新登录
问题 3:使用手动浏览的方式 登录并手动浏览和使用了 4 、5 个有代表性的页面,不知道该方式是否能检查出较为全面的漏洞情况
问题 4:appscan 到底是怎么工作的 我这边的页面是 vue 的,hash 模式路由,这个 url 前缀不变的情况,很多跳转逻辑是由 js 触发,页面的爬取是否齐全。
哪位 V 能指导指导
 |
1
donaldturinglee 11 天前
只会用 burp suite ,等会 appscan 的老哥出现
|
 |
2
gosling 11 天前
appscan 这玩意儿用处不大,都不如用 nuclei 和 naabu
|
 |
3
gefranks 10 天前
AppScan 这个东西是不是类似一个 proxy, 通过把要测试的接口记录下来,然后再根据模式库之类的再去反复请求测这些接口.
好像 WebInspect 之类的扫描工具也都是类似的原理. |
Select Language