AppScan 的安装+激活以及+漏扫dvwa,生成安全报告

这篇具有很好参考价值的文章主要介绍了AppScan 的安装+激活以及+漏扫dvwa,生成安全报告。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

一、安装
AppScan.10.0.0 获取方式百度网盘,亲测有效,里面也有安装教程。
链接:https://pan.baidu.com/s/1d7gUOEhidn1tfVIyHHaC7w
提取码:0903
AppScan 的安装+激活以及+漏扫dvwa,生成安全报告
#解压之后
AppScan 的安装+激活以及+漏扫dvwa,生成安全报告
#开始安装,记住安装的位置
AppScan 的安装+激活以及+漏扫dvwa,生成安全报告
#安装完之后记住,先不要打开HCL AppScan Standard,而是打开j解压第一步得到的文件夹,找到rcl_rational.dll文件,替换掉原先的文件。不知道在哪里的,直接搜这个文件,然后替换掉就行。
AppScan 的安装+激活以及+漏扫dvwa,生成安全报告
AppScan 的安装+激活以及+漏扫dvwa,生成安全报告
AppScan 的安装+激活以及+漏扫dvwa,生成安全报告

AppScan 的安装+激活以及+漏扫dvwa,生成安全报告

二、激活
安装完成之后激活许可证,打开软件,点击帮助-许可证-切换到IBM许可证,
选择解压得到的文件夹AppScanStdCrk中的AppScanStandard.txt作为证书导入进去即可。
AppScan 的安装+激活以及+漏扫dvwa,生成安全报告
AppScan 的安装+激活以及+漏扫dvwa,生成安全报告

AppScan 的安装+激活以及+漏扫dvwa,生成安全报告
激活完成,就可以对dvwa扫描生成报告了。

三、开始对dvwa扫描
AppScan 的安装+激活以及+漏扫dvwa,生成安全报告
复制要开始扫描地址,粘贴,连接成功,下一步。AppScan 的安装+激活以及+漏扫dvwa,生成安全报告
AppScan 的安装+激活以及+漏扫dvwa,生成安全报告
AppScan 的安装+激活以及+漏扫dvwa,生成安全报告
AppScan 的安装+激活以及+漏扫dvwa,生成安全报告
AppScan 的安装+激活以及+漏扫dvwa,生成安全报告

AppScan 的安装+激活以及+漏扫dvwa,生成安全报告
扫描完成,我这里选择安全性。保存报告。
AppScan 的安装+激活以及+漏扫dvwa,生成安全报告
保存,通过浏览器打开,就看到生成报告了文章来源地址https://www.toymoban.com/news/detail-444672.html

Web 应用程序报告
该报告包含有关 web 应用程序的重要安全信息。
安全报告
该报告由 HCL AppScan Standard 创建 10.0.0, 规则: 0
扫描开始时间:
 目录
介绍
常规信息
登陆设置
摘要
问题类型
有漏洞的 URL
修订建议
安全风险
原因
WASC 威胁分类
按问题类型分类的问题
“Content-Security-Policy”头缺失或不安全 1X-Content-Type-Options”头缺失或不安全 1X-XSS-Protection”头缺失或不安全 1 不安全的第三方链接 (target="_blank") 2 查询中接受的主体参数 1 检测到隐藏目录 14 HTML 注释敏感信息泄露 1
2022/5/14 1
 介绍
该报告包含由 HCL AppScan Standard 执行的 Web 应用程序安全性扫描的结果。
低严重性问题: 20
参考严重性问题: 1
报告中包含的严重性问题总数: 21
扫描中发现的严重性问题总数: 21
常规信息
扫描文件名称: 1
扫描开始时间:
测试策略: Default
主机 192.168.175.129
端口 80
操作系统: 未知
Web 服务器: Apache
应用程序服务器: PHP
登陆设置
登陆方法: 记录的登录
并发登陆: 已启用
会话中检测: 已启用
会话中模式:
跟踪或会话 ID cookie::
跟踪或会话 ID 参数:
登陆序列:
Type-Options”头缺失或不安全 1 TOC
问题 1 / 1X-Content-Type-Options”头缺失或不安全
严重性: 低
CVSS 分数: 5.0
URL:: http://192.168.175.129/dvwa/login.php
实体: login.php (Page)
风险: 可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置
可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息
原因: Web 应用程序编程或配置不安全
固定值: 将服务器配置为使用值为“nosniff”的“X-Content-Type-Options”头
差异:
推理: AppScan 检测到“X-Content-Type-Options”响应头缺失或具有不安全值,这可能会更大程度地暴露
于偷渡式下载攻击之下
测试请求和响应:
GET	/dvwa/login.php	HTTP/1.1
User-Agent:	Mozilla/5.0	(Windows	NT	6.1;	WOW64;	Trident/7.0;	rv:11.0)	like	Gecko
Referer:	http://192.168.175.129/dvwa/login.php
Cookie:	security=low;	PHPSESSID=jiudru828kdf27vqg4f5rn8nue
Connection:	Keep-Alive
Host:	192.168.175.129
Accept:	text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

<html	lang="en-GB">
	<head>
	 	<meta	http-equiv="Content-Type"	content="text/html;	charset=UTF-8"	/>
	 	<title>Login	::	Damn	Vulnerable	Web	Application	(DVWA)	v1.10	*Development*
</title>
	 	<link	rel="stylesheet"	type="text/css"	href="dvwa/css/login.css"	/>
	</head>
	<body>
	<div	id="wrapper">
	<div	id="header">
	<br	/>
	<p><img	src="dvwa/images/login_logo.png"	/></p>
	<br	/>
	</div>	<!--<div	id="header">-->
	<div	id="content">
	<form	action="login.php"	method="post">
	<fieldset>
	 	 	<label	for="user">Username</label>	<input	type="text"	class="loginInput"
size="20"	name="username"><br	/>
	 	 	<label	for="pass">Password</label>	<input	type="password"
class="loginInput"	AUTOCOMPLETE="off"	size="20"	name="password"><br	/>
	 	 	<br	/>
	 	 	<p	class="submit"><input	type="submit"	value="Login"	name="Login"></p>
	</fieldset>
	<input	type='hidden'	name='user_token'	value='55f1592974b2f16fabe0915855f558d8'	/>
	</form>
	<br	/>
	<div	class="message">CSRF	token	is	incorrect</div>
	<br	/>
	<br	/>
	<br	/>
	<br	/>
	<br	/>
	<br	/>
	<br	/>
	<br	/>
	<!--	<img	src="dvwa/images/RandomStorm.png"	/>	-->
	</div	>	<!--<div	id="content">-->
	<div	id="footer">
	<p><a	href="https://github.com/digininja/DVWA/"	target="_blank">Damn	Vulnerable	Web
Application	(DVWA)</a></p>
	</div>	<!--<div	id="footer">	-->
	</div>	<!--<div	id="wrapper">	-->
	</body>
</html>
2022/5/14 9
TOC
低 “X-XSS-Protection”头缺失或不安全 1 TOC
问题 1 / 1X-XSS-Protection”头缺失或不安全
严重性: 低
CVSS 分数: 5.0
URL:: http://192.168.175.129/dvwa/login.php
实体: login.php (Page)
风险: 可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置
可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息
原因: Web 应用程序编程或配置不安全
固定值: 将服务器配置为使用值为“1”(已启用)的“X-XSS-Protection”头
差异:
推理: AppScan 检测到 X-XSS-Protection 响应头缺失或具有不安全值,这可能会造成跨站点脚本编制攻
击
测试请求和响应:
GET	/dvwa/login.php	HTTP/1.1
User-Agent:	Mozilla/5.0	(Windows	NT	6.1;	WOW64;	Trident/7.0;	rv:11.0)	like	Gecko
Referer:	http://192.168.175.129/dvwa/login.php
Cookie:	security=low;	PHPSESSID=jiudru828kdf27vqg4f5rn8nue
Connection:	Keep-Alive
Host:	192.168.175.129
Accept:	text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language:	en-US

到了这里,关于AppScan 的安装+激活以及+漏扫dvwa,生成安全报告的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Web安全—Web漏扫工具OWASP ZAP安装与使用

    本文仅用于安全学习使用!切勿非法用途。 开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。ZAP则是OWASP里的工具类项目,也是旗舰项目,全称是OWASP Zed attack proxy,是一款

    2024年02月13日
    浏览(39)
  • DVWA安装以及模块使用教程(一)

    DVWA(Damn Vulnerable Web Application)是randomstorm的一个开源项目。一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。 DVWA共有十个模块,分别是: 1.Brute Force(密码破解)

    2023年04月13日
    浏览(49)
  • 安全人员必备漏扫工具——fscan是什么?并Win11安装fscan扫描工具、操作方法

    Fscan使用TCP连接来扫描目标主机上的端口。它会向目标主机发送一个TCP连接请求,如果目标主机响应了连接请求,说明该端口是开放的。如果目标主机没有响应连接请求,说明该端口是关闭的。 Fscan还可以使用ICMP协议来检测目标主机是否存活。当Fscan扫描一个IP地址时,它会发

    2023年04月21日
    浏览(41)
  • 安全人员必备内网漏扫工具——fscan是什么?并Win11安装fscan扫描工具、操作方法

    Fscan使用TCP连接来扫描目标主机上的端口。它会向目标主机发送一个TCP连接请求,如果目标主机响应了连接请求,说明该端口是开放的。如果目标主机没有响应连接请求,说明该端口是关闭的。 Fscan还可以使用ICMP协议来检测目标主机是否存活。当Fscan扫描一个IP地址时,它会发

    2024年02月12日
    浏览(57)
  • Win2016安装安全狗和DVWA

    搭建安全狗之前需要先安装XAMPP,XAMPP(Apache+MySQL+PHP+PERL)是一个功能强大的建站集成软件包,这个软件包原来的名字是 LAMPP,这个软件类似于phpstudy,功能比phpstudy强大 Download XAMPP (apachefriends.org) 下载5.6.30版本,版本太高和DVWA不适配 网站安全狗是一款集网站内容安全防护、网

    2024年02月07日
    浏览(40)
  • 网络安全-01-VMware安装Kali&部署DVWA

    Kali linux是基于Debian的Linux的发行版,高级渗透测试及安全审核的工具。   kali linux: 1、包含600+渗透测试工具 2、完全免费 3、多语言 Kali linux镜像下载地址: http://old.kali.org/kali-images/ 📰 2.1 新建虚拟机 选择稍后安装操作系统,➡下一步 选择Linux, Debian 10.X 64位,➡下一步 重

    2024年02月12日
    浏览(34)
  • DVWA下载、安装及使用教程,网络安全小白必看!

    DVWA是一款基于PHP和mysql开发的web靶场练习平台,集成了常见的Web漏洞。旨在为安全人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程; DVWA官网 (opens new window) DVWA Github (opens new window) DVWA共有十个模块,分别是: Brute Force(暴力

    2024年02月11日
    浏览(78)
  • 网络安全技术新手入门:在docker上安装dvwa靶场

    准备工作:1.已经安装好kali linux 步骤总览:1.安装好docker     2.拖取镜像,安装dvwa 输入命令: sudo su 输入命令: curl  -fsSL https://download.docker.com/linux/debian/gpg | sudo apt-key add - 输入命令: echo \\\'deb https://download.docker.com/linux/debian stretch stable\\\' /etc/apt/sources.list.d/docker.list tips:此处

    2024年01月20日
    浏览(37)
  • 网络安全--工具篇--AppScan

    AppScan是一款功能非常强大的网站漏洞扫描工具,它可以扫描网站所有url(自动+手动),为专业的网站安全防护人员进行web程序的安全性评估,帮助用户扫描网站中隐藏的url和其它安全问题,自动测试是否存在各种类型的漏洞,为网站做出最准确的分析。 1 双击运行下载好的

    2024年02月09日
    浏览(52)
  • 如何利用AppScan扫描H5页面,进行安全测试?

    前期项目组接触的都是Web安全测试,今天做安全测试的时候,有一个项目刚好有H5页面,用以前那种AppScan内置浏览器的探索方式是不行的,研究了下,可以使用外部设备进行探索。 AppScan有两种手动探索方式,一种是AppScan的内置浏览器探索,另外一种就是外部设备探索 ,以前

    2024年02月05日
    浏览(48)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包