AppSpider Pro快速入门指南

AppSpider Pro是一个桌面解决方案,可以扫描web和移动应用程序的漏洞。AppSpider动态地评估这些应用程序的所有现代技术漏洞,提供加速补救的工具,并监控应用程序的变化。

AppSpider如何扫描

AppSpider需要关于目标应用程序的基本信息,比如名称和基URL。然后AppSpider访问目标应用程序并执行以下操作:

  1. 爬行应用程序- 测试的第一阶段是应用程序中的页面,链接,目录和参数的清单。这个过程称为“爬行”。appspider无法测试它无法爬行或理解的内容。为了了解应用程序的Web前端,AppSpider进行全面的爬网(HTML,JavaScript),并分析此信息以了解应用程序中每个URL的预期输入。

笔记

在现实世界的应用程序中爬行所有可能的页面会涉及大量冗余,而且非常耗时。例如,爬过之后id = 1001id = 1002页面,爬行页面id = 1003会产生很少的价值。因此,AppSpider爬网,这些页面提供了良好的网站功能的代表。

  1. 记录流量-应用中可能使用了一些现代技术,AppSpider无法抓取。为了理解应用程序的“不可抓取”部分,如web服务和REST api, AppSpider要求用户记录使用这些部分时产生的网络流量。这些流量可以通过Burp、Paros或AppSpider的交通记录器等工具记录下来。AppSpider使用记录的流量,并使用这些信息来识别应用程序中这些不可见部分中的变量/参数。
  2. 翻译数据- AppSpider将在抓取和记录阶段获得的所有数据标准化为通用模式的原子web请求,该模式称为通用请求对象。
  3. 发射攻击—AppSpider分析每个通用请求对象,并启动超过45种不同的模拟攻击类型,渗透存在漏洞和威胁的后端系统。

现在你已经对AppSpider Pro有了一个高级的了解,你可以在你的系统上安装它了。

第1步:安装

首先,确保您的系统满足系统需求.接下来,按照安装指南下载并安装appspider pro到系统。在安装过程中,您将被要求选择要安装的组件。作为新用户,您将主要使用AppSpider图形用户界面(GUI)来管理AppSpider并扫描您的应用程序。在后来的文章中,每当我们指示您在AppSpider Pro中采取行动时,假设我们正在谈论AppSpider Pro GUI。

第2步:了解一些扫描概念

扫描配置或扫描配置是AppSpider扫描功能的基本构建块。扫描配置是一组设置,您可以用于扫描特定的Web应用程序。扫描配置包含所有必需的详细信息,例如URL,登录凭据和要扫描的应用程序的扫描设置。

您可以使用扫描设置:

  • 如果您的网页已针对特定的浏览器进行了优化,请在扫描配置中指定浏览器首选项。
  • 抓取整个网站以了解对网站结构的理解,但只攻击公开的组件。您可以在扫描配置中指定此首选项。
  • 将使用Selenium进行的自动化测试附加到扫描配置中,AppSpider将自动生成针对这些用例的攻击。

如果要扫描应用程序的较小部分或目标特定部分,则可以为应用程序的不同部分创建单独的扫描配置。通过创建扫描配置,您可以保存一个特定的选项配置,并重用它再次扫描该选项的应用程序。

第3步:配置和运行扫描

一旦您的安装完成,即可开始扫描。请注意,您只能一次运行一次扫描。如果要并行扫描多个应用程序,则可以使用AppSpider Enterprise。

  1. 打开AppSpider Pro,并参观主屏幕。
  2. 为了帮助您快速了解产品,AppSpider Pro自带一个内置的扫描配置,称为“webscantest”。该扫描配置使用默认设置,针对由Rapid7创建的已知易受攻击的网站www.webscantest.com..如果要使用内置扫描配置,请选择它扫描配置表然后按按钮。
  3. 要扫描自己的应用程序,请单击新配置操作面板.扫描配置向导将打开主要设置屏幕将可见。
  4. 为您的扫描命名,添加应用程序的基本URL,然后按回车键。
  5. 输入要抓取的最大链接数,并可选择限制您的扫描到种子url。如果您在面向客户的应用程序上测试AppSpider,那么使用少量链接爬行或使用通配符将测试限制在站点的一小部分是很有用的。
  6. 选择您的浏览器,然后单击下一个
  7. 中可用的选项调查问卷.从调查问卷配置所需的设置,并选择休息。
  8. 完成后,单击保存和运行按钮开始扫描。