扫描您的应用程序

通过扫描应用程序的漏洞来识别风险。扫描应用程序中的url攻击,以识别可能被攻击者利用的行为。属性中设置了特定的攻击类型、url和许多其他选项扫描Configs.

我应该运行哪种类型的扫描?

扫描类型 描述
全扫描 扫描所有的东西!全部扫描攻击应用程序中的所有URL。这是默认的扫描类型,并自动在新应用程序上运行的第一个扫描类型。当其他扫描类型以稍后的全扫描运行时,全扫描也称为父或基本扫描。
增量扫描 通过仅扫描Insightappsec认为自上次全扫描以来的新增和更新的链接,通过扫描扫描结果。增量扫描参考上一个扫描的爬网映射以确定新的和更新的链接。在扫描配置中启用和禁用此扫描类型。
验证扫描 测试是否通过攻击父扫描中找到的相同漏洞来修复漏洞。如果在验证扫描中找不到漏洞,则其状态更改为修复。

我想要:

最好通过扫描应用程序中的所有内容来识别风险

开始扫描

从应用程序或扫描配置启动扫描:

应用程序

  1. 所有应用程序页面,单击要扫描的应用程序。
  2. 应用概述页面,点击现在扫描并选择要运行的扫描配置。

扫描配置

  1. 应用概述页面,单击扫描Configs.标签。
  2. 选择要运行的扫描配置。
  3. 在扫描配置详细信息页面,单击保存和扫描
这是如何最好的识别风险?完全扫描旨在抓取扫描配置中列出的所有url,并提供与您的需求相关的深入结果。因为这些扫描会攻击应用程序中的每个目标,所以它们提供了应用程序的整体安全性。完全扫描是最常见的扫描类型,由扫描配置定义并触发。
用例:在集成之前扫描应用程序你的公司最近收购了一家拥有大量应用的新公司。在将新的应用程序集成到您的平台之前,您需要测试潜在的漏洞。因为这些应用之前没有被扫描过,而你又不熟悉所购买的产品,所以你需要对应用的各个方面进行深入的扫描。

推荐

全面扫描应该是识别应用风险的主要方法。因为这些扫描会攻击应用程序中的每个目标,所以它们提供了应用程序总体安全性的视图。

启用和禁用增量扫描

您可以在新的或现有扫描配置上启用增量扫描。如果启用尚未运行的扫描选项,则第一个增量扫描将运行完全扫描。下次扫描运行时,只有基于第一个爬网映射的新增或更新的链接将受到攻击。

  1. 所有应用程序页面,选择您的应用程序。
  2. 扫描Configs.选项卡,选择要运行的扫描。
  3. 一般的选项卡,使用增量扫描切换启用选项。
  4. 点击现在扫描并选择要运行的扫描配置。

作为最佳实践,您应该定期禁用增量扫描,以确保通过全扫描找到所有漏洞。

我为什么要运行此扫描?

为了减少之前发现的漏洞列表,你可以扫描应用程序新的或更新的增量。增量扫描引用以前扫描的爬行图,只识别和攻击新的和更新的链接。

如果启用尚未运行的扫描配置的增量扫描,则第一个扫描将爬网,如全扫描。增量扫描引用上一扫扫描的爬网映射以识别和攻击Insightappsec检测新的或更新的链接。

扫描如何确定新的并改变?

扫描开始时,扫描仪加载父扫描的爬网结果。扫描仪爬网并计算每个链接的爬网签名。

增量扫描将每个链接的抓取签名与来自父扫描的签名进行比较。如果增量扫描的爬行链路不存在或与父扫描的爬行链路不同,则增量扫描将攻击该链路。如果在父扫描中已经存在爬行的链路,增量扫描不会攻击该链路。

推荐

运行定期全部扫描,以确保您找到尽可能多的漏洞。虽然增量扫描可用于减少重复漏洞的数量,但它们并不像全部扫描那样全面,不应专门使用。对网站的一些更改可能不会被视为重大变化,例如数据库更新,因此不会被扫描。

通过重新运行扫描来测试漏洞修复

使用验证扫描测试修复

运行验证扫描,看看之前的扫描是否能再次发现漏洞。如果扫描没有找到漏洞,则漏洞状态变为“已修复”。

  1. 在你的应用程序中,选择你想要验证的扫描。
  2. 点击验证扫描
  3. 要查看扫描进度,请单击扫描状态在横幅通知。
  4. 当扫描完成时,在扫描细节页,确认已修复的漏洞已列在修复字段。
  5. 所有的漏洞页面,验证未列出漏洞。

验证扫描使用扫描引擎。在没有扫描的情况下测试单个漏洞的修复,您可以重播攻击

为什么我要这样测试补救措施?

只有应用程序中仍然存在的漏洞将列在验证扫描结果中。攻击且未发现不再易受攻击的漏洞将使其状态更新为修复,并不会包含在验证扫描结果中。

通过检查Scan Information抽屉中的remediated字段,可以看到有多少漏洞得到了补救。任何无法被攻击的漏洞将不包含在验证扫描结果中,其状态将不被更新。

如何知道漏洞是否已修复?

验证扫描根据是否找到漏洞,未找到或在父扫描运行时未找到或未知,自动更改漏洞状态:

  • 成立- 仍然易受攻击,将是验证扫描结果的一部分
  • 未找到- 不再易受攻击,状态已更新,vuln不包含在验证扫描结果中
  • 未知的- 发动机无法重复原始攻击,状态保持不变,但弊气不包括在验证扫描结果中
原始的状态 发现奢侈 未找到 未知的
未录夜 未录夜 修复 未录夜
忽略了 忽略了 修复 忽略了
验证 验证 修复 验证
修复 未录夜 修复 修复
假阳性 假阳性 假阳性 假阳性
复制 复制 复制 复制

推荐

使用验证扫描来测试修复和完整扫描,以了解您的应用程序安全性的完整视图。验证扫描从父扫描中违反攻击结果,并且可能会发现父扫描中未发现的漏洞。虽然所有漏洞页面包含验证扫描发现的新和现有漏洞,但它并不像在父扫描上运行完全扫描那样全面。

使用主动扫描

监控和管理活动扫描

扫描概述页面基于扫描是否正在进行或已完成。扫描正在进行时,页面显示有两个选项卡的扫描状态:

  • 每攻击漏洞- 此选项卡对应用程序中发现的漏洞的实时快照非常有用。
  • 事件记录日志-事件日志实时列出了InsightAppSec控制台作为扫描的一部分所采取的操作,并可以帮助您在扫描的早期检测身份验证或访问失败。
暂停,停止和恢复扫描
  1. 当扫描正在运行时,查看扫描状态
  2. 要暂停扫描,请单击暂停扫描请注意:您可以在扫描活动屏幕或“中断扫描”仪表板上查看所有暂停扫描。
  3. 要恢复已暂停的扫描,请单击恢复扫描
  4. 要停止扫描,请单击停止扫描并选择是否保存或丢弃扫描结果。

扫描完成后,在扫描概述页面上查看结果。

一次扫描最多可以暂停24小时。在此之后,扫描将停止,并且在此之前的结果,包括任何发现的漏洞,将被保留。这个限制既适用于手动暂停的扫描,也适用于由于中断而暂停的扫描。

查看扫描结果

查看扫描发现的漏洞

扫描完成后,“扫描概述”页面显示扫描指标和扫描结果。您可以将扫描结果导出到JIRA并生成报告,也可以查看每个结果的详细信息。点击任何发现查看攻击细节和补救意见。

查看扫描结果

有关分析结果的更多信息,请参阅一起工作的漏洞

查看和删除扫描

如果您有很多扫描,您可能会发现通过状态查看扫描,以及删除扫描活动页面的失败扫描有用。

  1. 扫描活动页面,单击“状态”以仅在该状态下查看扫描。
  2. 删除失败的扫描,在失败的列表,选择要删除的扫描,然后单击删除图标。

接下来是什么?