appscan

解决方案： 在登录之前增加代码： SecurityUtils.getSubject().logout(); 但是实际情况是加上后导致appscan经常重复登录，非法会话。但漏洞扫描不出来了，但是扫描速度超慢。 来源： oschina 链接： https://my.oschina.net/u/4170983/blog/3225271

3 月，跳不动了？>>> 最近一直刷新AppScan的下限，对于Appscan报出的中危漏洞“启用不安全的HTTP方法”。分析了其扫描机制，以及处理方法和绕开方法。如果不耐烦看分析过程，请直接跳到文章最后看处理方法。 0. 漏洞背景 “启用了不安全的 HTTP 方法”属于“中”危漏洞。漏洞描述是：根据 APPSCAN 的报告 ， APPSCAN 通过 OPTIONS 请求，当响应中发现 DELETE 、 SEARCH 、 COPY 等方法为允许方法时，则认为是漏洞。 详见下图： Web 服务器（以 IIS 为例）在没有任何设置是，使用 OPTIONS 命令，可以返回所有能够响应的 HTTP 方法，如 OPTIONS, TRACE, GET, HEAD, COPY, PROPFIND, SEARCH, LOCK, UNLOCK 。 发送OPTIONS请求：（使用telnet或者secureCRT等软件）： 服务器响应可以使用的 HTTP 方法，见 Allow 部分。 1. 实验环境 Web 服务器环境： IIS6 。站点结构如下，使用了主机头 myapp.com 指向了我的测试应用 app 。 配置只有读取权限，还有执行权限设置为“纯脚本”。 2. 实验 实验1：裸实验 未启用WebDav，OPTIONS命令的返回中，只显示只有OPTION、TRACE、GET、HEAD和POST。

一、操作前提 1.首先下载Appscan的安装包 2.安装Appscan 二、操作流程 1.双击 图标，打开Appscan软件 2.打开软件后，页面显示如下： 3.选择“文件-新建”，弹出如下的窗口： 4.点击“常规扫描”，页面如下： 5.选择“Appscan（自动或手动）”，点击下一步，如图： 6.在“起始URL”处输入将要扫描的系统的URL，点击下一步，如图： 7.选择“自动”，输入用户名和密码，如图： 8.点击下一步，如图： 9.默认，点击下一步，如图： 　　注： 一般常用的是“启动全面自动扫描”和“使用“手动探索”启动”，二者区别如下： 　　1）启动全面自动扫描：工具自动对系统进行扫描，扫描完毕后会显示扫描结果。不过使用此种方式扫描不全，类似插件的模块扫描不到。 　　2）使用“手动探索”启动：测试人员可以自由灵活的对所有模块进行扫描操作，扫描结果更加细致。下面以手动探索为例。 10.选择 “使用“手动探索”启动 ，点击完成。通过浏览器打开扫描的页面，如下： 11.进行测试操作，录制脚本，脚本录制完毕后，关闭浏览器。Appscan页面显示录制的脚本信息，如下图： 12.点击“导出”按钮，保存录制的脚本，关闭窗口。点击“文件-导入-探索数据”，选择刚才录制的脚本。 13.脚本添加完毕，如下图： 14.点击“扫描-继续仅探索” 15.弹出如下窗口： 16.选择“是”

关于黑盒，个人认为还是首先考虑是私用还是商用。 私用的话去找一些开源的工具就好，像OWASP ZAP、Arachni、Wfuzz、Nikto这几个都是免费开源的。 商用的话就比较特殊，需要考量的因素比较多（当然也比较贵），除了规则库、准确率、误报率、效率、稳定性以外，合规也是非常重要的因素（当了多年甲方运维狗已经被合规搞怕了/哈哈）。 商用给你推荐的话，当然是 曾以 Watchfire AppScan 的名称享誉业界的AppScan,当年IBM收购了这条产品线以后更名为IBM Rational AppScan，可想而知，能被IBM看上的都不是省油的灯。之后，IBM的Web系统在上线之前，必须要通过公司的安全扫描，执行这个扫描任务的就是著名的Appscan。 这个软件能构造各种各样的输入， 模拟各种黑客的攻击，发现Web系统的各种漏洞： SQL注入，XSS，CSRF，Session Fixation等等， 非常强大，是Web系统安全探测好助手，后来还出了一个SaaS版。 直到2018年12月IBM的几大软件被HCL所收购，这让我挺震惊的，因为这些软件我很熟悉，有些还是经常使用的，其中一个就是 Appscan，2020年初HCL还更新了AppScan，功能更强大了。 换了东家之后，价格倒是提升了不少，但是市场占有率还是稳居第一，性能方面更没得说

本次针对 Appscan漏洞 Authentication Bypass Using HTTP Verb Tampering（HTTP动词篡改导致的认证旁路） 进行总结，如下： 1. Authentication Bypass Using HTTP Verb Tampering 1.1、攻击原理 　　不安全的HTTP方法PUT/DELETE/MOVE/COPY/TRACE/PROPFIND/PROPPATCH/MKCOL/LOCK/UNLOCK允许攻击者修改web服务器文件、删除web页面、甚至上传web shell获取用户的身份信息等，它们都有可能制造出严重的安全漏洞，开发人员需要对HTTP请求类型进行控制，防止服务器资源被非授权篡改。 1.2、案例分析 　　APPSCAN用无意义的HTTP动词 bogus 向服务端发起请求，系统正常返回，显示此系统未对http请求类型进行判断限制，存在HTTP动词篡改漏洞。 BOGUS /fams/admin/j_security_check HTTP/1.1 Accept-Language: en-US Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Referer: http://xxx-core-stg1.paic.com.cn/fams/

本文简单介绍Appscan的安装和使用。 一、下载安装 可自行百度下载相关安装包（因较高版本的破解资料比较难找，建议下载9.0版本）。 双击.exe安装文件进行安装，在弹出的安装指引中各选项默认安装即可，也可自行修改安装路径，直到安装完成。 二、破解 将破解文件LicenseProvider.dll复制替换到Appscan的安装目录下的同名文件，破解完成。【 PS：许可证处还是显示演示许可证，但扫描目标已经不受限制 】 三、使用 完成软件的安装破解，即可进行系统软件的安全扫描。 因扫描过程会产生大量脏数据，因此建议在测试环境进行 。 3.1 启动软件 开始-程序 -IBM security AppScan Standard，或双击桌面快捷方式 3.2 安全扫描步骤 3.2.1 点击“文件”新建“常规扫描” 3.2.2 设置扫描向导，默认即可 3.2.3 输入扫描地址，一般需要勾选仅扫描此目录或目录下的链接 3.2.4 设置登录管理，登录方法选自动，填写登录账号和密码 3.2.5 设置测试策略，一般选择缺省值 3.2.6 完成扫描设置 3.2.7 开始扫描 初步扫描完成后，需点击“继续完全扫描” 3.2.7 扫描完成 四、安全测试报告 扫描完成之后，需要提供测试报告作为修复安全漏洞参考依据 根据需要，勾选相关的报告内容 点击“保存报告”，可生成一个详细的PDF格式的安全测试报告