使用方法
用法:图形界面操作
说明:扫描由两个阶段组成:探测和测试。
探测阶段:
AppScan用模拟人为点击链界和填充表单的方式探测站点(应用或者Web服务)。分析响应,查找潜在弱点的迹象并利用它们创建“测试请求”。
测试阶段:
AppScan在探索期间发送上千个预定的测试请求。记录并分析应用的响应,辨别安全问题并排列它们的安全级别。
图形界面:
用法:图形界面操作
1. 创建新的扫描任务
2. 选择适当的测试策略
3. 选择需要扫描的网站,在url中输入网址,即可点击开始扫描。
4. 查看或导出扫描结果。
说明:扫描由两个阶段组成:探测和测试。
探测阶段:
AppScan用模拟人为点击链界和填充表单的方式探测站点(应用或者Web服务)。分析响应,查找潜在弱点的迹象并利用它们创建“测试请求”。
测试阶段:
AppScan在探索期间发送上千个预定的测试请求。记录并分析应用的响应,辨别安全问题并排列它们的安全级别。
由于软件是商业付费软件,需要购买license继续使用。
风险提示
1、 IBM Rational Appscan具有强大的扫描能力和插件库,在扫描时支持大量并发扫描,对于一些网站服务器处理能力较低的网站,建议调整扫描策略,设置较低的扫描并发值;
2、 在扫描时,appscan会构造大量数据包对服务端程序进行请求,包括GET、PUT和POST请求,可能会在服务端程序表单中填充大量测试数据或者在根目录中写入测试数据。