AppScan是一款web安全扫描工具,可以测试和评估Web服务和应用程序的风险检查。AppScan有自己的用例库,版本越新用例库越全。提供了自动化扫描功能,能够识别和报告各种安全问题。AppScan有自己的用例库,版本越新用例库越全。
在这里插入图片描述
扫描web应用程序,这里以DVWA靶场为例。
在这里插入图片描述
URL和服务器,输入起始URL,这里以DVWA靶场为例。
在这里插入图片描述
这种方法不允许有验证码。这里登录是因为,在扫描的时候,可能会登录到站点。若url地址搭配了https协议,那么需要安装证书。
在这里插入图片描述
在这里插入图片描述
这里是选择测试的速度,一般来说,速度越快,扫描发现的漏洞就越少。
在这里插入图片描述
所谓探索,就是不做漏洞探测,只进行爬虫。
在这里插入图片描述
扫描排除路径,排查,有些目录不想要扫,可以设置。
在这里插入图片描述
也可以设置黑名单,不进行扫描
在这里插入图片描述
可以提前设置好告诉程序,选好以后就不需要app去自动探测
在这里插入图片描述
这样基本的内容设置完以后,就可以开始扫描了。
在这里插入图片描述
验证码绕过
在有后端校验验证码的时候,可以通过复制浏览器的cookie值来进行反复扫描
原理:在有后端校验验证码的时候,可以通过复制浏览器的cookie值来进行反复扫描
这里拿大米的靶场来探测,拿到网站登录后的cookie,输出cookie
在这里插入图片描述
进入到对应页面,选择添加参数,内容为复制的cookie字段
在这里插入图片描述
有些目录会存在XX,这个代表设置不去访问的目录,只扫指定的特定目录,故根目录并没有扫
在这里插入图片描述
在下面的请求包里面发现我们自己加的cookie
在这里插入图片描述
越权扫描,分为水平越权和垂直越权,这里以pikachu靶场的垂直越权为例子
在这里插入图片描述
重复步骤之前的操作步骤,但是在登陆的时候,第一步选择登录admin用户。调试策略针对性,测试的话只选择越权的。
在这里插入图片描述
结束后保存项目到本地
在这里插入图片描述
这里是重复进行之前的操作,第二次测试的话登录普通用户,进行对比
在这里插入图片描述
在特权升级处加入内容,选择之前保存的admin的文件
在这里插入图片描述
成功测试到垂直越权
在这里插入图片描述

# 前端 # 安全 # 测试工具 # 程序人生 # 改行学it # 安全威胁分析
Logo
火山引擎 ADG 社区

火山引擎开发者社区是火山引擎打造的AI技术生态平台,聚焦Agent与大模型开发,提供豆包系列模型(图像/视频/视觉)、智能分析与会话工具,并配套评测集、动手实验室及行业案例库。社区通过技术沙龙、挑战赛等活动促进开发者成长,新用户可领50万Tokens权益,助力构建智能应用。

更多推荐

Chess用户界面设计:Tailwind CSS样式系统和组件库

GitHub推荐项目精选中的ch/chess是一个类似chess.com的多人在线象棋平台,它采用现代化的前端技术栈构建,尤其在用户界面设计上通过Tailwind CSS样式系统和组件库实现了优雅且功能丰富的交互体验。本文将深入探讨该项目如何利用Tailwind CSS打造一致的设计语言和高效的组件系统,为象棋爱好者提供沉浸式的游戏界面。## 🎨 Tailwind CSS样式系统:构建统一视

avatar 火山引擎 ADG 社区

终极指南:GPT-Engineer如何通过AI自动发现代码问题并提升质量

GPT-Engineer是一款强大的AI驱动代码工具,它能帮助开发者自动检测潜在代码问题、优化代码质量,让编程效率提升3倍以上。无论是新手还是资深开发者,都能通过这款工具轻松发现代码中的隐藏缺陷,减少调试时间,释放更多精力在创造性工作上。## 一键发现代码问题:GPT-Engineer的AI审查魔力GPT-Engineer的核心能力在于其内置的智能代码分析系统。通过集成Python代码格式

avatar 火山引擎 ADG 社区

SatDump中的纠错编码技术:从RS码到Turbo码的完整实现指南

在卫星数据传输过程中,信号往往会受到各种干扰,导致数据错误。SatDump作为一款通用卫星数据处理软件,集成了多种先进的纠错编码技术,确保从卫星接收到的数据能够准确解码。本文将深入解析SatDump中从Reed-Solomon(RS)码到Turbo码的实现细节,帮助读者理解这些技术如何保障卫星通信的可靠性。## 为什么纠错编码对卫星数据至关重要?卫星与地面站之间的通信链路面临着空间辐射、大

avatar 火山引擎 ADG 社区