0


AppScan 的安装+激活以及+漏扫dvwa,生成安全报告

一、安装
AppScan.10.0.0 获取方式百度网盘,亲测有效,里面也有安装教程。
链接:https://pan.baidu.com/s/1d7gUOEhidn1tfVIyHHaC7w
提取码:0903
在这里插入图片描述
#解压之后
在这里插入图片描述
#开始安装,记住安装的位置
在这里插入图片描述
#安装完之后记住,先不要打开HCL AppScan Standard,而是打开j解压第一步得到的文件夹,找到rcl_rational.dll文件,替换掉原先的文件。不知道在哪里的,直接搜这个文件,然后替换掉就行。
在这里插入图片描述

在这里插入图片描述

![在这里插入图片描述](https://img-blog.csdnimg.cn/5c2b855b6e7f4ef08c254f376006b106.png

二、激活
安装完成之后激活许可证,打开软件,点击帮助-许可证-切换到IBM许可证,
选择解压得到的文件夹AppScanStdCrk中的AppScanStandard.txt作为证书导入进去即可。
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
激活完成,就可以对dvwa扫描生成报告了。

三、开始对dvwa扫描
在这里插入图片描述
复制要开始扫描地址,粘贴,连接成功,下一步。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
扫描完成,我这里选择安全性。保存报告。
在这里插入图片描述
保存,通过浏览器打开,就看到生成报告了

Web 应用程序报告
该报告包含有关 web 应用程序的重要安全信息。
安全报告
该报告由 HCL AppScanStandard 创建 10.0.0, 规则: 0
扫描开始时间:
 目录
介绍
常规信息
登陆设置
摘要
问题类型
有漏洞的 URL
修订建议
安全风险
原因
WASC 威胁分类
按问题类型分类的问题
“Content-Security-Policy”头缺失或不安全 1 “X-Content-Type-Options”头缺失或不安全 1 “X-XSS-Protection”头缺失或不安全 1 不安全的第三方链接 (target="_blank")2 查询中接受的主体参数 1 检测到隐藏目录 14 HTML 注释敏感信息泄露 12022/5/141
 介绍
该报告包含由 HCL AppScanStandard 执行的 Web 应用程序安全性扫描的结果。
低严重性问题: 20
参考严重性问题: 1
报告中包含的严重性问题总数: 21
扫描中发现的严重性问题总数: 21
常规信息
扫描文件名称: 1
扫描开始时间:
测试策略: Default
主机 192.168.175.129
端口 80
操作系统: 未知
Web 服务器: Apache
应用程序服务器: PHP
登陆设置
登陆方法: 记录的登录
并发登陆: 已启用
会话中检测: 已启用
会话中模式:
跟踪或会话 ID cookie::
跟踪或会话 ID 参数:
登陆序列:
Type-Options”头缺失或不安全 1 TOC
问题 1/1
“X-Content-Type-Options”头缺失或不安全
严重性: 低
CVSS 分数: 5.0
URL:: http://192.168.175.129/dvwa/login.php
实体: login.php (Page)
风险: 可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置
可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息
原因: Web 应用程序编程或配置不安全
固定值: 将服务器配置为使用值为“nosniff”的“X-Content-Type-Options”头
差异:
推理: AppScan 检测到“X-Content-Type-Options”响应头缺失或具有不安全值,这可能会更大程度地暴露
于偷渡式下载攻击之下
测试请求和响应:
GET    /dvwa/login.php    HTTP/1.1User-Agent:Mozilla/5.0(Windows    NT    6.1;    WOW64;Trident/7.0;    rv:11.0)    like    GeckoReferer:    http://192.168.175.129/dvwa/login.php
Cookie:    security=low;    PHPSESSID=jiudru828kdf27vqg4f5rn8nue
Connection:Keep-AliveHost:192.168.175.129Accept:    text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
<html    lang="en-GB"><head><meta    http-equiv="Content-Type"    content="text/html;    charset=UTF-8"/><title>Login::DamnVulnerableWebApplication(DVWA)    v1.10*Development*</title><link    rel="stylesheet"    type="text/css"    href="dvwa/css/login.css"/></head><body><div    id="wrapper"><div    id="header"><br    /><p><img    src="dvwa/images/login_logo.png"/></p><br    /></div><!--<div    id="header">--><div    id="content"><form    action="login.php"    method="post"><fieldset><label    for="user">Username</label><input    type="text"class="loginInput"
size="20"    name="username"><br    /><label    for="pass">Password</label><input    type="password"class="loginInput"    AUTOCOMPLETE="off"    size="20"    name="password"><br    /><br    /><p    class="submit"><input    type="submit"    value="Login"    name="Login"></p></fieldset><input    type='hidden'    name='user_token'    value='55f1592974b2f16fabe0915855f558d8'    /></form><br    /><div    class="message">CSRF    token    is    incorrect</div><br    /><br    /><br    /><br    /><br    /><br    /><br    /><br    /><!--<img    src="dvwa/images/RandomStorm.png"/>--></div    ><!--<div    id="content">--><div    id="footer"><p><a    href="https://github.com/digininja/DVWA/"    target="_blank">DamnVulnerableWebApplication(DVWA)</a></p></div><!--<div    id="footer">--></div><!--<div    id="wrapper">--></body></html>2022/5/149
TOC
低 “X-XSS-Protection”头缺失或不安全 1 TOC
问题 1/1
“X-XSS-Protection”头缺失或不安全
严重性: 低
CVSS 分数: 5.0
URL:: http://192.168.175.129/dvwa/login.php
实体: login.php (Page)
风险: 可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置
可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息
原因: Web 应用程序编程或配置不安全
固定值: 将服务器配置为使用值为“1”(已启用)的“X-XSS-Protection”头
差异:
推理: AppScan 检测到 X-XSS-Protection 响应头缺失或具有不安全值,这可能会造成跨站点脚本编制攻
击
测试请求和响应:
GET    /dvwa/login.php    HTTP/1.1User-Agent:Mozilla/5.0(Windows    NT    6.1;    WOW64;Trident/7.0;    rv:11.0)    like    GeckoReferer:    http://192.168.175.129/dvwa/login.php
Cookie:    security=low;    PHPSESSID=jiudru828kdf27vqg4f5rn8nue
Connection:Keep-AliveHost:192.168.175.129Accept:    text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language:    en-US

本文转载自: https://blog.csdn.net/qq_51279057/article/details/124768390
版权归原作者 光头的光光头的头 所有, 如有侵权,请联系我们删除。

“AppScan 的安装+激活以及+漏扫dvwa,生成安全报告”的评论:

还没有评论