https://www.hcl-software.com/appscan
AppScan是一种综合型漏洞扫描工具,采用SaaS解决方案,它将所以测试功能整合到一个服务中,避免了因操作系统不同带来的安装问题
四个扫描模式:
动态分析(DAST)——黑盒扫描
动态的web扫描,爬取目标网站的接口、链接,通过扫描器自身的扫描逻辑去发送一些特定的http请求数据包,根据服务端的返回内容来判断存在哪些漏洞
静态分析(SAST)——白盒扫描
自动化的代码审计
静态扫描工具:
checkmark:非编译扫描,代码是什么样它就什么样
fortify:编译扫描,需要一定的环境依赖
codeql、Xcheck
交互式分析(IAST)
ASoC使用安装在应用程序上的代理,通过监控所有的交互流量,在应用程序运行期间识别安全漏洞
缺点:会影响到业务,不能保证插入代码的安全性
开源分析
对应用程序中所使用的开源部分进行分析
