AppScan案例分析

工作中遇到一个案例，使用 AppScan 扫描扫描了 3*24 小时，扫描的 scan 文件已经达到9G；扫描还在持续进行中，总体进度完成了

30%，可以想象扫描速度已经很缓慢，还需要多长时间才可以完成扫描？扫描完成以后如此大的结果文件是否可以成功打开和修改保存 ?

我们的分析过程如下：

1、和用户讨论，Appscan，确认关心的安全问题，根据这些安全问题制定测试策略；讨论后确定选择“SQL 注入”和“跨站点脚本编制”两种类型的安全隐患。

2、确定网站范围，被扫描应用是典型运营商门户网站，*要扫描门户网站自身和其上面提供的“网上营业厅”服务。分析被测网站，Appscan新版本，使用 AppScan 配置了网站主页面，然后选择“仅探索”运行 20 分钟后，发现 30，000 多个页面。停止探索，开始分析页面。

3、分析发现该网站同一个链接，存在 http、https 访问的不同情况，而且两种访问方式访问到的页面内容相同，则过滤掉 https 的请求，集中测试 http 请求。分析发现存在大量的“伪静态页面”，如：

AppScan漏洞复现方式

2、复现跨站点请求csrf漏洞

在实际的项目中，只要测试报告中有csrf的漏洞问题，就可以人工去查看t或get接口的请求头，是否包含token和referer。

利用get请求复现的方法很简单：

1）在浏览器中登录系统，找到一个get接口链接A，下来

2）再去百度，随便搜索一个博客链接B，找到元素的链接B后，右键，编辑，直接将B替换为所测系统的接口链接A

3）点击博客上刚刚替换链接对应的文字，如果跳转的页面返回了接口A的信息，则证明攻击成功，Appscan年费版，存在跨站点请求csrf的问题，如果不是，则会返回无权限或接口的其他状态码等等

Appscan Standard应用安全漏洞扫描工具参数，更新 V10.0 参数：

1、产品从操作界面，到联机帮助文档；安装手册中文化；

2、支持以代理方式收集流量的方式进行应用安全测试；

3、支持特权用户检查功能，通过对不同权限用户的纵向和横向的检查比较，寻找应用中的越权行为；

4、支持的模拟攻击行为不仅可以包括Brute Force、Insufficient Authentication、Credential/Session Prediction、Insufficient Authorization、Insufficient Session Expirati0n、Session Fixation、Content Spoofing、Cross-site Scripting、Buffer Overflow、Format String Attack、LDAP Injection、OS Commanding、SQL Injecti0n、SSI Injection、XPath Injection、Directory Indexing、Information Leakage、Path Tr*ersal、Predictable Resource Location、Abuse of Functionality、Denial of Service、Insufficient Process Validation等方法。