生活随笔
收集整理的這篇文章主要介紹了
AppScan 的安装+激活以及+漏扫dvwa,生成安全报告
小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.
一、安裝
AppScan.10.0.0 獲取方式百度網(wǎng)盤,親測(cè)有效,里面也有安裝教程。
鏈接:https://pan.baidu.com/s/1d7gUOEhidn1tfVIyHHaC7w
提取碼:0903
#解壓之后
#開始安裝,記住安裝的位置
#安裝完之后記住,先不要打開HCL AppScan Standard,而是打開j解壓第一步得到的文件夾,找到rcl_rational.dll文件,替換掉原先的文件。不知道在哪里的,直接搜這個(gè)文件,然后替換掉就行。
擊幫助-許可證-切換到IBM許可證,
選擇解壓得到的文件夾AppScanStdCrk中的AppScanStandard.txt作為證書導(dǎo)入進(jìn)去即可。
激活完成,就可以對(duì)dvwa掃描生成報(bào)告了。
三、開始對(duì)dvwa掃描
復(fù)制要開始掃描地址,粘貼,連接成功,下一步。
掃描完成,我這里選擇安全性。保存報(bào)告。
保存,通過瀏覽器打開,就看到生成報(bào)告了
Web 應(yīng)用程序報(bào)告
該報(bào)告包含有關(guān) web 應(yīng)用程序的重要安全信息。
安全報(bào)告
該報(bào)告由 HCL
AppScan Standard 創(chuàng)建
10.0.0, 規(guī)則:
0
掃描開始時(shí)間:目錄
介紹
常規(guī)信息
登陸設(shè)置
摘要
問題類型
有漏洞的 URL
修訂建議
安全風(fēng)險(xiǎn)
原因
WASC 威脅分類
按問題類型分類的問題
“
Content-Security-Policy”頭缺失或不安全
1 “
X-Content-Type-Options”頭缺失或不安全
1 “
X-XSS
-Protection”頭缺失或不安全
1 不安全的第三方鏈接
(target
="_blank") 2 查詢中接受的主體參數(shù)
1 檢測(cè)到隱藏目錄
14 HTML 注釋敏感信息泄露
1
2022/5/14 1介紹
該報(bào)告包含由 HCL
AppScan Standard 執(zhí)行的
Web 應(yīng)用程序安全性掃描的結(jié)果。
低嚴(yán)重性問題:
20
參考嚴(yán)重性問題:
1
報(bào)告中包含的嚴(yán)重性問題總數(shù):
21
掃描中發(fā)現(xiàn)的嚴(yán)重性問題總數(shù):
21
常規(guī)信息
掃描文件名稱:
1
掃描開始時(shí)間:
測(cè)試策略:
Default
主機(jī)
192.168.175.129
端口
80
操作系統(tǒng): 未知
Web 服務(wù)器:
Apache
應(yīng)用程序服務(wù)器: PHP
登陸設(shè)置
登陸方法: 記錄的登錄
并發(fā)登陸: 已啟用
會(huì)話中檢測(cè): 已啟用
會(huì)話中模式:
跟蹤或會(huì)話 ID cookie::
跟蹤或會(huì)話 ID 參數(shù):
登陸序列:
Type-Options”頭缺失或不安全
1 TOC
問題
1 / 1
“
X-Content-Type-Options”頭缺失或不安全
嚴(yán)重性: 低
CVSS 分?jǐn)?shù):
5.0
URL:: http
://192.168.175.129/dvwa
/login
.php
實(shí)體: login
.php
(Page)
風(fēng)險(xiǎn): 可能會(huì)收集有關(guān)
Web 應(yīng)用程序的敏感信息,如用戶名、密碼、機(jī)器名和
/或敏感文件位置
可能會(huì)勸說初級(jí)用戶提供諸如用戶名、密碼、信用卡號(hào)、社會(huì)保險(xiǎn)號(hào)等敏感信息
原因:
Web 應(yīng)用程序編程或配置不安全
固定值: 將服務(wù)器配置為使用值為“nosniff”的“
X-Content-Type-Options”頭
差異:
推理:
AppScan 檢測(cè)到“
X-Content-Type-Options”響應(yīng)頭缺失或具有不安全值,這可能會(huì)更大程度地暴露
于偷渡式下載攻擊之下
測(cè)試請(qǐng)求和響應(yīng):
GET
/dvwa
/login
.php HTTP
/1.1
User-Agent: Mozilla/5.0 (Windows NT
6.1; WOW64
; Trident/7.0; rv
:11.0) like
Gecko
Referer: http
://192.168.175.129/dvwa
/login
.php
Cookie: security
=low
; PHPSESSID
=jiudru828kdf27vqg4f5rn8nue
Connection: Keep-Alive
Host: 192.168.175.129
Accept: text
/html
,application
/xhtml
+xml
,application
/xml
;q
=0.9,*
<html lang
="en-GB"><head><meta http
-equiv
="Content-Type" content
="text/html; charset=UTF-8" /><title>Login :: Damn Vulnerable Web Application (DVWA
) v1
.10 *Development*
</title
><link rel
="stylesheet" type
="text/css" href
="dvwa/css/login.css" /></head
><body><div id
="wrapper"><div id
="header"><br
/><p><img src
="dvwa/images/login_logo.png" /></p
><br
/></div
> <!--<div id
="header">--><div id
="content"><form action
="login.php" method
="post"><fieldset><label
for="user">Username</label
> <input type
="text" class="loginInput"
size
="20" name
="username"><br
/><label
for="pass">Password</label
> <input type
="password"
class="loginInput" AUTOCOMPLETE
="off" size
="20" name
="password"><br
/><br
/><p
class="submit"><input type
="submit" value
="Login" name
="Login"></p
></fieldset
><input type
='hidden' name
='user_token' value
='
55f1592974b2f16fabe0915855f558d8'
/></form
><br
/><div
class="message">CSRF token is incorrect
</div
><br
/><br
/><br
/><br
/><br
/><br
/><br
/><br
/><!-- <img src
="dvwa/images/RandomStorm.png" /> --></div
> <!--<div id
="content">--><div id
="footer"><p><a href
="https://github.com/digininja/DVWA/" target
="_blank">Damn Vulnerable Web
Application (DVWA
)</a
></p
></div
> <!--<div id
="footer"> --></div
> <!--<div id
="wrapper"> --></body
>
</html
>
2022/5/14 9
TOC
低 “
X-XSS
-Protection”頭缺失或不安全
1 TOC
問題
1 / 1
“
X-XSS
-Protection”頭缺失或不安全
嚴(yán)重性: 低
CVSS 分?jǐn)?shù):
5.0
URL:: http
://192.168.175.129/dvwa
/login
.php
實(shí)體: login
.php
(Page)
風(fēng)險(xiǎn): 可能會(huì)收集有關(guān)
Web 應(yīng)用程序的敏感信息,如用戶名、密碼、機(jī)器名和
/或敏感文件位置
可能會(huì)勸說初級(jí)用戶提供諸如用戶名、密碼、信用卡號(hào)、社會(huì)保險(xiǎn)號(hào)等敏感信息
原因:
Web 應(yīng)用程序編程或配置不安全
固定值: 將服務(wù)器配置為使用值為“
1”(已啟用)的“
X-XSS
-Protection”頭
差異:
推理:
AppScan 檢測(cè)到
X-XSS
-Protection 響應(yīng)頭缺失或具有不安全值,這可能會(huì)造成跨站點(diǎn)腳本編制攻
擊
測(cè)試請(qǐng)求和響應(yīng):
GET
/dvwa
/login
.php HTTP
/1.1
User-Agent: Mozilla/5.0 (Windows NT
6.1; WOW64
; Trident/7.0; rv
:11.0) like
Gecko
Referer: http
://192.168.175.129/dvwa
/login
.php
Cookie: security
=low
; PHPSESSID
=jiudru828kdf27vqg4f5rn8nue
Connection: Keep-Alive
Host: 192.168.175.129
Accept: text
/html
,application
/xhtml
+xml
,application
/xml
;q
=0.9,*
總結(jié)
以上是生活随笔為你收集整理的AppScan 的安装+激活以及+漏扫dvwa,生成安全报告的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò),歡迎將生活随笔推薦給好友。
