最近总涉及到一些漏洞扫描方面的问题;AppScan最近这段时间也用了不少次了,但是每次都是有新的问题,废话不多说,开始正文!
我们在扫描系统时因为是通过类似于录制捕获的方式实现的,现在的大多数系统为了提升安全性在登录时都会要求加入验证码,比如图形类的,加减乘除运算的。碰上沟通的开发或者是对方的环境为测试环境时这个时候如果你要求说去掉验证码或者是提供个万能码是没有问题的,但是不是所有的时候都会有这种美好的事情发生,如果不能这样那我们就只能靠“技术”实现了。
其实AppScan是可以做到跳过验证码进行之后的一系列操作的,就像下面这样:
1.选择Web服务,设置自动代理
选择web服务后,工具会自动生成代理的端口,当然也可以自己选择设置
根据上面的代理地址到浏览器中进行设置代理,如果浏览器中有代理插件可以通过代理插件设置会更加方便,比如“SwitchyOmega”
设置好之后选择该代理,就像这样:
然后回到工具,继续点击下一步直到出现“完成扫描配置向导”的提示
如果在下一步过程中出现以下提示直接选择“是”就可以
点击“记录”,然后在设置好代理的浏览器中进行登录操作,此时可以可到工具捕捉到了对应的请求
捕获结束后点击“停止记录”,如果有多余的请求可以选择删除,如果没有选择“确定”后工具对捕获的内容会进行自动分析,此时工具就开始自动漏洞扫描了,并且能看到相关扫描出的内容。
