IBM Rational AppScan Standard(Web網(wǎng)站漏洞掃描器)是一個適合安全專家的Web應(yīng)用程序和Web服務(wù)滲透測試軟件。軟件是一個比較強(qiáng)大的網(wǎng)站漏洞掃描器，功能強(qiáng)大且使用容易。

基本簡介

　　網(wǎng)絡(luò)掃描是滲透測試的第一步，其目的在于發(fā)現(xiàn)目標(biāo)的操作系統(tǒng)類型、開放端口等基本信息，為后面的掃描工作做基礎(chǔ)。事實(shí)上，利用操作系統(tǒng)本身的一些命令如ping、telnet、nslookup等也可以對目標(biāo)的信息進(jìn)行判斷，但是利用專業(yè)的工具可以給出更加全面和準(zhǔn)確的判斷。IBM AppScan該產(chǎn)品是一個領(lǐng)先的 Web 應(yīng)用安全測試工具，曾以 Watchfire AppScan 的名稱享譽(yù)業(yè)界。Rational AppScan 可自動化 Web 應(yīng)用的安全漏洞評估工作，能掃描和檢測所有常見的 Web 應(yīng)用安全漏洞，例如 SQL 注入（SQL-injection）、跨站點(diǎn)腳本攻擊（cross-site scripting）、緩沖區(qū)溢出（buffer overflow）及最新的 Flash/Flex 應(yīng)用及 Web 2.0 應(yīng)用曝露等方面安全漏洞的掃描。

軟件特色

　　1.測試階段

　　在第二個階段，AppScan 將發(fā)送它在探索階段創(chuàng)建的數(shù)千個定制測試請求。 它使用定制驗(yàn)證規(guī)則記錄和分析應(yīng)用程序?qū)γ總�測試的響應(yīng)。 這些規(guī)則既可識別應(yīng)用程序內(nèi)的安全問題，又可排列其安全風(fēng)險級別。

　　2.無 Web 服務(wù)的站點(diǎn)

　　如果是沒有 Web 服務(wù)的站點(diǎn)，那么為 AppScan? 提供起始 URL 和登錄認(rèn)證憑證可能足以使其能夠測試站點(diǎn)。如有必要，還可以通過 AppScan 手動搜尋站點(diǎn)，以便能夠訪問僅通過特定用戶輸入才能到達(dá)的區(qū)域。

　　3.Web服務(wù)

　　為了能夠有效掃描 Web Service，AppScan 安裝包含一項(xiàng)工具，用戶通過它可查看 Web 服務(wù)中整合的各種方法，處理輸入數(shù)據(jù)以及檢查來自服務(wù)的反饋。

　　您首先需要為 AppScan 提供服務(wù)的 URL。 集成的“通用服務(wù)客戶機(jī) (GSC)”使用服務(wù)的 WSDL 文件以樹格式顯示可用的單獨(dú)方法，并且會創(chuàng)建用于向服務(wù)發(fā)送請求的用戶友好 GUI。您可以使用此界面輸入?yún)��?shù)和查看結(jié)果。此過程由 AppScan 進(jìn)行“記錄”，并且用于在 AppScan 掃描站點(diǎn)時創(chuàng)建針對服務(wù)的測試。

　　4.需要用戶交互

　　這些是由于需要用戶提供 AppScan所無法提供的輸入而未發(fā)送的請求。您可以配置 AppScan 以提供輸入；請參閱“自動表單填充”視圖。 如果您遺漏了某些應(yīng)用程序參數(shù)，或選擇不使用自動表單填充器，那么 AppScan 將會提供交互式 URL 列表供您復(fù)審。

功能介紹

　　1.Flash支持

　　Appscan相對早期的版本增加了flash支持功能，它可以探索和測試基于Adobe的Flex框架的應(yīng)用程序，也支持AMF協(xié)議。

　　2.Glass box testing

　　Glass box testing是Appscan中引入的一個新的功能.這個過程中，安裝一個代理服務(wù)器,這有助于發(fā)現(xiàn)隱藏的URL和其它的問題。

　　3.Web服務(wù)掃描

　　Web服務(wù)掃描是Appscan中具有有效自動化支持的一個掃描功能。

　　4.Java腳本安全分析

　　Appscan中介紹了JavaScript安全性分析,分析抓取html頁面漏洞，并允許用戶專注于不同的客戶端問題和DOM(文檔對象模型)為基礎(chǔ)的XSS問題。

　　5.報告

　　根據(jù)你的要求，可以生成所需格式的報告。

　　6.修復(fù)支持

　　對于確定的漏洞,程序提供了相關(guān)的漏洞描述和修復(fù)方案.

　　7.可定制的掃描策略

　　Appscan配備一套自定義的掃描策略,你可以定制適合你需要的掃描策略。

　　8.工具支持

　　它有像認(rèn)證測試，令牌分析器和HTTP請求編輯器等,方便手動測試漏洞.