AppScan使用分享
其实,对于安全方面的测试知道的甚少。因为那公司每个月要求对产品进行安全扫描。掌握了一人点使用技巧,所以拿来与大家分享。
因为产品比较大,功能模块也非常之多,我们不可能对整个产品进行扫描。再一个每个测试员负责测试的模块不同。我们只需要对自己负责测试的模块扫描即可。
扫描工具自然是IBM AppScan ,功能强大,使用简单。略懂安全测试的都使用或听说过这个工具。这里就不过多介绍了。
首先要抽取扫描的链接。fiddler工具来抽取。打开系统,找到你需要做扫描的功能模块,开启fiddler拦截功能,然后对你所要测试的功能做各种操作,fiddler就会记录的所有访问的链接,因为涉及到隐私,所以下图会比较模糊。
其实,请求中有非常多的链接,但许多是一样,我们只要把不一样的全找出来就可以了。这里你需要知道每个连接的情况。也有一些外部链接是不需要抽取的。
下面打开appscan创建扫描。(关于appascan的下载安装与破解、介绍,我在另一篇博文已讲)
上面这一步是重点,起始URL填写你要扫描的网址。其它服务器和域:这里把抽取的所有链接都添加进去。包括后网站的首页链接。点击下一步。
点击工具栏上的探索按钮,appscan会打开自带浏览器,输入系统用户名密码登录系统,对你要扫描的模块功能进行操作。
上图为我打开的appscan自带浏览器(因为我输入的网址有误,所以无法访问)。操作完成之后,点击暂停按钮,关闭浏览器窗口即可。
关闭浏览器后,上面的窗口中会记录所有你访问的连接,点击确定。所有的信息就会记录下来了,下面要做的点击点击工具栏上的扫描按钮开始扫描。我们一般晚上下班进行,第二天早上来看扫描结果就可以了。
本来到这里就可以结束了,我再多说个设置。呵呵!在手动探索的时候,因为打开的浏览器是appscan自带的,可能会存在兼容性问题,有些页面无法正常打开。那么是否可以用我们电脑上的浏览器(IE 、火狐、谷歌)来进行录制呢了。当然是可以的。
这个一定要大图,我们只需要修改openExternalBrowser 选项“值”的参数就可以了(1=IE、2=firefox、3=chrome)。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/57366.html
FireFoxjava相关文章
- 分享一个日常使用的一段shell脚本
- 技术分享 | Jenkins job 机制该如何使用?
- Oracle 视图 V$STATS_ADVISOR_RULES 官方解释,作用,如何使用详细说明
- Python如何使用pip命令安装第三方模块
- .1在Win8.1上使用MongoDB的经验分享(mongodbwin8)
- key如何使用Java处理Redis过期Key(redisjava过期)
- 类型MySQL中 使用二进制数据类型的优势(mysql二进制数据)
- Linux维护模式使用技巧分享: 解决常见问题(linux维护模式)
- 使用Dubbo中需要注意的事项
- Linux系统中OCFS2文件系统的使用研究(linux ocfs2)
- 如何使用Redis进行查询(怎么在redis里面查询)
- 学习Mysql如何使用in操作符(mysql中in怎么使用)
- 学习MySQL如何使用SQL语句在MySQL中创建表(mysql中创建表sql)
- Redis应用实践精彩案例分享(使用redis例子)
- 使用JS进行目录上传(相当于批量上传)
- Android自动化测试经验分享UiObejct.getFromParent()的使用方法
- jQueryajax中使用serialize()方法提交表单数据示例
- jquery使用append(content)方法注意事项分享
- c语言尾队列tailq使用示例分享
- java单例模式4种使用方式分享
- java使用listIterator逆序arraylist示例分享
- 使用递归实现数组求和示例分享
- php类声明和php类使用方法示例分享
- Mysql联合查询UNION和Orderby同时使用报错问题的解决办法
- Python中urllib2模块的8个使用细节分享