扫描您的应用程序
通过扫描应用程序的漏洞来识别风险。扫描应用程序中的url攻击,以识别可能被攻击者利用的行为。属性中设置了特定的攻击类型、url和许多其他选项扫描Configs..
我应该运行哪种类型的扫描?
| 扫描类型 | 描述 |
|---|---|
| 全扫描 | 扫描所有的东西!全部扫描攻击应用程序中的所有URL。这是默认的扫描类型,并自动在新应用程序上运行的第一个扫描类型。当其他扫描类型以稍后的全扫描运行时,全扫描也称为父或基本扫描。 |
| 增量扫描 | 通过仅扫描Insightappsec认为自上次全扫描以来的新增和更新的链接,通过扫描扫描结果。增量扫描参考上一个扫描的爬网映射以确定新的和更新的链接。在扫描配置中启用和禁用此扫描类型。 |
| 验证扫描 | 测试是否通过攻击父扫描中找到的相同漏洞来修复漏洞。如果在验证扫描中找不到漏洞,则其状态更改为修复。 |
我想要:
最好通过扫描应用程序中的所有内容来识别风险
开始扫描
从应用程序或扫描配置启动扫描:
应用程序
- 在所有应用程序页面,单击要扫描的应用程序。
- 在应用概述页面,点击现在扫描并选择要运行的扫描配置。
扫描配置
- 从应用概述页面,单击扫描Configs.标签。
- 选择要运行的扫描配置。
- 在扫描配置详细信息页面,单击保存和扫描.
这是如何最好的识别风险?
完全扫描旨在抓取扫描配置中列出的所有url,并提供与您的需求相关的深入结果。因为这些扫描会攻击应用程序中的每个目标,所以它们提供了应用程序的整体安全性。完全扫描是最常见的扫描类型,由扫描配置定义并触发。用例:在集成之前扫描应用程序
你的公司最近收购了一家拥有大量应用的新公司。在将新的应用程序集成到您的平台之前,您需要测试潜在的漏洞。因为这些应用之前没有被扫描过,而你又不熟悉所购买的产品,所以你需要对应用的各个方面进行深入的扫描。推荐
全面扫描应该是识别应用风险的主要方法。因为这些扫描会攻击应用程序中的每个目标,所以它们提供了应用程序总体安全性的视图。
只扫描自上次扫描以来的新和更新的链接
启用和禁用增量扫描
您可以在新的或现有扫描配置上启用增量扫描。如果启用尚未运行的扫描选项,则第一个增量扫描将运行完全扫描。下次扫描运行时,只有基于第一个爬网映射的新增或更新的链接将受到攻击。
- 在所有应用程序页面,选择您的应用程序。
- 在扫描Configs.选项卡,选择要运行的扫描。
- 在一般的选项卡,使用增量扫描切换启用选项。
- 点击现在扫描并选择要运行的扫描配置。
作为最佳实践,您应该定期禁用增量扫描,以确保通过全扫描找到所有漏洞。
我为什么要运行此扫描?
为了减少之前发现的漏洞列表,你可以扫描应用程序新的或更新的增量。增量扫描引用以前扫描的爬行图,只识别和攻击新的和更新的链接。
如果启用尚未运行的扫描配置的增量扫描,则第一个扫描将爬网,如全扫描。增量扫描引用上一扫扫描的爬网映射以识别和攻击Insightappsec检测新的或更新的链接。
扫描如何确定新的并改变?
扫描开始时,扫描仪加载父扫描的爬网结果。扫描仪爬网并计算每个链接的爬网签名。
增量扫描将每个链接的抓取签名与来自父扫描的签名进行比较。如果增量扫描的爬行链路不存在或与父扫描的爬行链路不同,则增量扫描将攻击该链路。如果在父扫描中已经存在爬行的链路,增量扫描不会攻击该链路。
推荐
运行定期全部扫描,以确保您找到尽可能多的漏洞。虽然增量扫描可用于减少重复漏洞的数量,但它们并不像全部扫描那样全面,不应专门使用。对网站的一些更改可能不会被视为重大变化,例如数据库更新,因此不会被扫描。
通过重新运行扫描来测试漏洞修复
使用验证扫描测试修复
运行验证扫描,看看之前的扫描是否能再次发现漏洞。如果扫描没有找到漏洞,则漏洞状态变为“已修复”。
- 在你的应用程序中,选择你想要验证的扫描。
- 点击验证扫描.
- 要查看扫描进度,请单击扫描状态在横幅通知。
- 当扫描完成时,在扫描细节页,确认已修复的漏洞已列在修复字段。
- 在所有的漏洞页面,验证未列出漏洞。
验证扫描使用扫描引擎。在没有扫描的情况下测试单个漏洞的修复,您可以重播攻击.
为什么我要这样测试补救措施?
只有应用程序中仍然存在的漏洞将列在验证扫描结果中。攻击且未发现不再易受攻击的漏洞将使其状态更新为修复,并不会包含在验证扫描结果中。
通过检查Scan Information抽屉中的remediated字段,可以看到有多少漏洞得到了补救。任何无法被攻击的漏洞将不包含在验证扫描结果中,其状态将不被更新。
如何知道漏洞是否已修复?
验证扫描根据是否找到漏洞,未找到或在父扫描运行时未找到或未知,自动更改漏洞状态:
- 成立- 仍然易受攻击,将是验证扫描结果的一部分
- 未找到- 不再易受攻击,状态已更新,vuln不包含在验证扫描结果中
- 未知的- 发动机无法重复原始攻击,状态保持不变,但弊气不包括在验证扫描结果中
| 原始的状态 | 发现奢侈 | 未找到 | 未知的 |
|---|---|---|---|
| 未录夜 | 未录夜 | 修复 | 未录夜 |
| 忽略了 | 忽略了 | 修复 | 忽略了 |
| 验证 | 验证 | 修复 | 验证 |
| 修复 | 未录夜 | 修复 | 修复 |
| 假阳性 | 假阳性 | 假阳性 | 假阳性 |
| 复制 | 复制 | 复制 | 复制 |
推荐
使用验证扫描来测试修复和完整扫描,以了解您的应用程序安全性的完整视图。验证扫描从父扫描中违反攻击结果,并且可能会发现父扫描中未发现的漏洞。虽然所有漏洞页面包含验证扫描发现的新和现有漏洞,但它并不像在父扫描上运行完全扫描那样全面。
使用主动扫描
监控和管理活动扫描
扫描概述页面基于扫描是否正在进行或已完成。扫描正在进行时,页面显示有两个选项卡的扫描状态:
- 每攻击漏洞- 此选项卡对应用程序中发现的漏洞的实时快照非常有用。
- 事件记录日志-事件日志实时列出了InsightAppSec控制台作为扫描的一部分所采取的操作,并可以帮助您在扫描的早期检测身份验证或访问失败。
暂停,停止和恢复扫描
- 当扫描正在运行时,查看扫描状态.
- 要暂停扫描,请单击暂停扫描.请注意:您可以在扫描活动屏幕或“中断扫描”仪表板上查看所有暂停扫描。
- 要恢复已暂停的扫描,请单击恢复扫描.
- 要停止扫描,请单击停止扫描并选择是否保存或丢弃扫描结果。
扫描完成后,在扫描概述页面上查看结果。
一次扫描最多可以暂停24小时。在此之后,扫描将停止,并且在此之前的结果,包括任何发现的漏洞,将被保留。这个限制既适用于手动暂停的扫描,也适用于由于中断而暂停的扫描。
查看扫描结果
查看扫描发现的漏洞
扫描完成后,“扫描概述”页面显示扫描指标和扫描结果。您可以将扫描结果导出到JIRA并生成报告,也可以查看每个结果的详细信息。点击任何发现查看攻击细节和补救意见。
有关分析结果的更多信息,请参阅一起工作的漏洞.
查看和删除扫描
如果您有很多扫描,您可能会发现通过状态查看扫描,以及删除扫描活动页面的失败扫描有用。
- 在扫描活动页面,单击“状态”以仅在该状态下查看扫描。
- 删除失败的扫描,在失败的列表,选择要删除的扫描,然后单击删除图标。
接下来是什么?