简介
网络安全漏洞扫描软件,可以直接对OS命令、SSRF和XXE攻击等漏洞进行检测,使得漏洞检测更加容易。
功能特色
- 动态分析(黑盒扫描)
- 静态分析(白盒扫描,代码审计)
- 交互分析(glass box)
- 高级功能:常规和法规一致性报告
扫描流程
- static:静态分析
- Dynamic:动态分析
- Hybrid:混合分析
- Run-Time:运行时分析(玻璃盒,不知道源码)
- Client-side:客户端分析
外置设备手工扫描
- 在appscan中配置外部设备(手工探索——外部设备)
- 在浏览器中配置和appscan中指示的代理端口号
- appscan截获数据包
- 扫描——仅测试
内置浏览器手工扫描
1.手动探索——appscan chromium浏览器
2.配置url
证书安装
绕过https
1.手工扫描——外部设备——记录代理配置
2.下载证书,在浏览器中导入证书
手工探测绕过登录
- 使用定制头解决
- 使用手工探索-外部设备
- 抓取已登录的cookie绕过登录
扫描报告
领导查看的报告
一般是缺省值或者摘要
其他报告
