系统安全扫描工具(Appscan)的扫描类型小记
发布时间:2022-09-22 14:56:26 所属栏目:安全 来源:
导读: 扫描分类
不同场景需要使用不同方式的扫描类型。不能盲目的、暴力的去折腾。
自动扫描
刚开始扫描的时候适合用这种方式。有助于,理解整个网站的结构。
需要注意的是:去伪静态
不同场景需要使用不同方式的扫描类型。不能盲目的、暴力的去折腾。
自动扫描
刚开始扫描的时候适合用这种方式。有助于,理解整个网站的结构。
需要注意的是:去伪静态
|
扫描分类 不同场景需要使用不同方式的扫描类型。不能盲目的、暴力的去折腾。 自动扫描 刚开始扫描的时候适合用这种方式。有助于,理解整个网站的结构。 需要注意的是:去伪静态和业务冗余 伪静态 url结构相似,内容相似。我们判断是同一个接口。一旦发现扫描了半天,页面超过5000以上,基本可以断言就是有很多伪静态的需要去分析了。 通过include 、正则和excelue即可 业务冗余 url结构相似,内容不同。我们判断是多个接口。这个时候需要增加冗余个数。 建议是把这两类的url分成两个任务去执行。一个偏向扫静态和相同的内容,把冗余个数减少。一个偏向扫冗余,询问一下大概接口的类型,然后设置冗余个数 手动扫描 页面的核心逻辑是放在异步请求。比如说ajax分页。 qq怎么关闭安全扫描_网站安全扫描_360安全木马后门扫描查杀 有一定流程性的业务。它们之间是有相互依赖的。比如说:购物、注册流程。 建议的操作步骤 问一下相关人员哪些是有流程性的业务。使用多步 问一下相关人员哪些是业务里的核心逻辑是放在异步请求。使用手动搜索,因为自动扫描会忽略js发出来的请求,会遗漏。 然后全站扫描,看一下目录里是否有相似的url,分清哪些是伪静态,哪些是业务冗余的。如果网站太大的话,建议的节奏是:仅扫描-->仅测试--->仅扫描--->仅..... 分多个任务去扫描,最后再汇总。如果是分布式应用,可以按应用分。如果应用太大网站安全扫描,可以根据扫描类型分。如果一个类型里的任务太大,可以根据目录再抓。 小结 所有的努力,是为了扫描到所有的页面、流程。以便可以得到大而全的安全报告。 (编辑:百客网 - 百科网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐