Appscan使用之扫描结果分析-.docxVIP

本文将介绍针对扫描结果的分析，也是一次完整的渗透测试必须经历 的环节。 LJ Q^frars^uirstjsovi - E3M 孔at Hand AppSc?n File Edrt Vmr Sc-in Tdc4s H^p fcin ■ 回 0 Q d” Wimwid Ettore kwiXwr^uAw Report knd kun Lcog PmwTortio ? ?TM DwIjtouvi粘 My AfipbcMcrn 3 强E httpL 讪*“ ICTffirf reft.甫呂艸血 jC—tI! 1； fcin ■ 回 0 Q d ” Wimwid Ettore kwiXwr^uAw Report knd kun Lc og PmwTorti o ? ? TM DwIj touvi 粘 My AfipbcMcrn 3 强 E httpL 讪*“ ICTffirf reft.甫呂 艸血 jC—tI! 1；| 彌诅：石帥 rii |WB*wd| CcfMimtMtd dJJQG 口 0 Q B)r DMW4ng 呂 t 5ecuFTr)- * 3ttr Y4Wb ^ ta TW taw ike泄it nrt = commientJspt |,5 H feedkhtcLnpft [i it rvtw(fflfll.htrri 貧*E-K声⑶ 审VFC?『卵?桦 sutvey. [fijKLKmSiJKfia **fflif* I ?) 0 Aufiherdiicjftmn 9^p?s Lkm^ 与QL 酗 曲 BWSQi如力m . 曲冷叶曲m -i 母 UiW€rfpt*a R?qv?ft ■ 廿|p XPth Injrcflicm ■l Crtras-Srt-e Req?j?3 Forgtr-i ?： 4叶tC鶴厅1讪q? gHTTl!E?fWMSpHlw*5 ：： I，卄 VUsf I Authentication Bypass Using SQL Injection (2) [Qtal nipnte Qi i rssues ltx9 ■ 1 ■ ■W OfltJibund O1 urtd 冊lip Mgmt ta■斜?r? n?l?bankliogin isp? 0 強吐穴 Mlf H^n-.Q rtM-bMl： O0 i LhE lh时占曲口0”飙临 即■■:g iv - d哪號I瘵^餐社応 賢^血詡l5BI 扫描开始的时候，AppScan会询问是否保存扫描结果，同时下方有进 度条显示扫描的进度。 在扫描过程中，如果遇到任何连接问题或者其他任何问题， 可以暂停 扫描并在稍后继续进行。如之前讲的扫描包括两个阶段-探索、测试。 AppScan中的Scan Expert和HP Weblnspect中的建议选项卡类似。 Scan Expert分析扫描的配置，然后针对变化给出配置建议，目的是 为了更好的执行一次扫描，可以选择忽略或者执行这些建议。 AppScan的窗口大概分三个模块。 Application Links （应用链接）， Security Issues （安全问题），and Analysis （分析）如下图所示： ；^UhsHK# X 6?.八瓠?古*亠一■* ￡■卡@ jK FssJi^aM勘7■鼻*K趣-b? m?m n曲 *yprtm ；^UhsHK# X 6 ?.八瓠?古*亠一■* ￡■卡@ jK FssJi^aM 勘7■鼻*K趣 -b? m?m n 曲 *yprtm . wv^ 岭 甘翻 -1^1 电? Aa^*** 爭—MMtr 4-鶯—U■?- | “ F* 事 i^?^h ? Security Isiuos ? e raKL Pili HttM-U. 月也lew理吨1/1 亠倉 Atrilwvcjtcm ■$!?? U^lng UHL hffrttiofi (U An*l0ii Tib ■ :: mnrv r^ftr *M,^BRR.k3^H -rasv nxadmin. con Application Links Pane（ 应用程序结构） 这一块主要显示网站的层次结构，基于URL和基于内容形式的文件夹 和文件等都会在这里显示，在旁边的括号里显示的数字代表存在的漏 洞或者安全问题。通过右键单击文件夹或者 URL可以选择是否忽略扫 描此节点。Dashboard窗格会根据漏洞严重程序，高中低列出网站存 在的问题情况，一次Dashboard将反映一个应用程序的整体实力。 Security Issues Pa ne （安全问题） 这个窗格主要显示应用程序中存在的漏洞的详细信息。 针对每一个漏 洞，列出了具体的参数。通过展开树形结构可以看到一个特定漏洞的 具体情况，如下所示： j，盘 Blind SQ