系列文章
AppScan介绍和安装AppScan 扫描web应用程序
AppScan被动手动探索扫描
第四节-绕过登录验证码深入扫描
我们工作中最长碰到的工作场景是网站采用https协议,这时我们要用appScan进行扫描时,就需要先安装证书
1.证书安装
1.新建一个文件,点击【文件】,点击【新建】
2.选择【扫描web应用程序】
3.点击【取消】
4.点击【手动扫描】,选择【外部设备】
5.记录代理端口
6.点击【记录代理配置】
7.点击【记录代理】,点击【导出】
8.选择喜欢的位置,点击【保存】
9.点击【取消】
10.解压已经保存的证书
11.切换到火狐浏览器,点击【更多】,点击【设置】
12.输入证书,点击【回车】,点击【查看证书】
13.点击【证书颁发机构】,点击【导入】
14.选择证书,点击【打开】
15.勾选信任证书,点击【确定】
16.点击【确定】
2.手工探测绕过登录
扫描过程会遇到网站 存在 手机验证码,图形验证码,滑动验证等等,这时候想要深度扫描时,就需要进行登录绕过。有两种方法可以选择
第一:使用第三节课介绍的定制头解决
第二:使用手工探索-外置设备进行登录绕过,我们今天讲解第二种
1.新建一个文件,点击【文件】,点击【新建】
2.选择【扫描web应用程序】
3.输入被测网址,点击【下一步】
4.点击【记录】,点击【AppScan Chromium 浏览器】
5.进行登录
6.点击【我已登录到站点】
可以看到,登录回放是失败,遇到这种情况,我们今天使用手工探索-外置设备进行登录绕过
7.点击【关闭】
8.点击【取消】
9.点击【取消】
10.点击【手动扫描】,选择【外部设备】
11.记录代理端口
13.点击【代理】,点击【选项】
14.点击【编辑】
15.输入AppScan的端口,点击【保存】
16.切换到被测网站,点击【代理】,选择【appscan】
17.点击想要测试功能
18.点击【停止记录】
19.选择被测网站,点击【确定】
20.等待流量加载完成
21.点击【扫描】,点击【仅测试】
22.等待测试结果