AppScan案例分析
工作中遇到一个案例,使用 AppScan 扫描扫描了 3*24 小时,扫描的 scan 文件已经达到9G;扫描还在持续进行中,总体进度完成了
30%,可以想象扫描速度已经很缓慢,还需要多长时间才可以完成扫描?扫描完成以后如此大的结果文件是否可以成功打开和修改保存 ?
我们的分析过程如下:
1、和用户讨论,Appscan,确认关心的安全问题,根据这些安全问题制定测试策略;讨论后确定选择“SQL 注入”和“跨站点脚本编制”两种类型的安全隐患。
2、确定网站范围,被扫描应用是典型运营商门户网站,*要扫描门户网站自身和其上面提供的“网上营业厅”服务。分析被测网站,Appscan新版本,使用 AppScan 配置了网站主页面,然后选择“仅探索”运行 20 分钟后,发现 30,000 多个页面。停止探索,开始分析页面。
3、分析发现该网站同一个链接,存在 http、https 访问的不同情况,而且两种访问方式访问到的页面内容相同,则过滤掉 https 的请求,集中测试 http 请求。分析发现存在大量的“伪静态页面”,如:
AppScan漏洞复现方式
2、复现跨站点请求csrf漏洞
在实际的项目中,只要测试报告中有csrf的漏洞问题,就可以人工去查看t或get接口的请求头,是否包含token和referer。
利用get请求复现的方法很简单:
1)在浏览器中登录系统,找到一个get接口链接A,下来
2)再去百度,随便搜索一个博客链接B,找到元素的链接B后,右键,编辑,直接将B替换为所测系统的接口链接A
3)点击博客上刚刚替换链接对应的文字,如果跳转的页面返回了接口A的信息,则证明攻击成功,Appscan年费版,存在跨站点请求csrf的问题,如果不是,则会返回无权限或接口的其他状态码等等
Appscan Standard应用安全漏洞扫描工具参数,更新 V10.0 参数:
1、产品从操作界面,到联机帮助文档;安装手册中文化;
2、支持以代理方式收集流量的方式进行应用安全测试;
3、支持特权用户检查功能,通过对不同权限用户的纵向和横向的检查比较,寻找应用中的越权行为;
4、支持的模拟攻击行为不仅可以包括Brute Force、Insufficient Authentication、Credential/Session Prediction、Insufficient Authorization、Insufficient Session Expirati0n、Session Fixation、Content Spoofing、Cross-site Scripting、Buffer Overflow、Format String Attack、LDAP Injection、OS Commanding、SQL Injecti0n、SSI Injection、XPath Injection、Directory Indexing、Information Leakage、Path Tr*ersal、Predictable Resource Location、Abuse of Functionality、Denial of Service、Insufficient Process Validation等方法。