AppScan是用于Web项目的安全测试工具,扫描网站所有url,自动测试是否存在各种类型的漏洞。AppScan安装在Windows环境上,版本越高,规则库越安全,扫描越全面。
1. 打开AppScan,在欢迎界面点击‘创建新的扫描’;
![](https://img2018.cnblogs.com/blog/1278571/201909/1278571-20190917215810952-505181414.png)
2. 点击‘常规扫描’,弹出扫描配置向导面板;
![](https://img2018.cnblogs.com/blog/1278571/201909/1278571-20190917215907686-1350545964.png)
3. 在配置向导面板,选择AppScan(自动或手动),然后下一步;
(外部设备/客户机(AppScan作为记录代理)用于APP端扫描)
![](https://img2018.cnblogs.com/blog/1278571/201909/1278571-20190917215926287-620904319.png)
4. 在配置向导的URL框中填入需要扫描系统的网址,然后下一步;
![](https://img2018.cnblogs.com/blog/1278571/201909/1278571-20190917215943932-672439730.png)
5. 配置向导的登录方法页面,这里选择合适的登录方法便于后续扫描的开展,最常用的是记录和自动,这里选择‘记录’,然后下一步,在弹出窗选择‘是’;
![](https://img2018.cnblogs.com/blog/1278571/201909/1278571-20190917220000385-883824524.png)
或者,点击记录下的‘使用AppScan浏览器(建议)’在渲染网站后点击我已登录到站点;
![](https://img2018.cnblogs.com/blog/1278571/201909/1278571-20190917220023173-2011403389.png)
6. 选择一种测试策略,常用的是缺省值和完成,这里使用‘完成’,然后下一步;
测试策略说明:
- 缺省值:包含多种测试,但不包含侵入式和端口侦听器;
- 仅应用程序:包含所有应用程序级别的测试,但不包含侵入式和端口侦听器;
- 仅基础结构:包含所有基础结构级别的测试,但不包含侵入式和端口侦听器;
- 仅第三方:该策略包含所有第三方级别测试,但侵入式和端口侦听器测试除外;
- 侵入式:包含所有侵入式测试(可能影响服务器稳定性的测试);
- 完成:包含所有的AppScan测试,但端口侦听器测试除外;
- Web Services:该策略包含所有SOAP相关的非侵入式测试;
- 关键的少数:包含一些成功可能性较高的测试精选,在时间有限时对站点评估可能有用;
- 开发者精要:包含一些成功可能性极高的应用程序测试的精选,在时间有限时对站点评估可能有用;
- 生产站点:此策略“排除”可能损坏站点的侵入式测试,或测试可能导致“拒绝服务” 的其他用户;
![](https://img2018.cnblogs.com/blog/1278571/201909/1278571-20190917220035331-324910958.png)
7. 在完成扫描配置向面板,这里举例选择启动全面自动扫描,然后点击完成;
- 启动全面扫描:会自动探索URL,而且边探索变扫描页面;
- 仅使用自动“探索”启动:自动探索URL,不做扫描;
- 使用“手动探索”启动:手动去访问URL,AppScan会自动记录你访问页面的URL;
- 我将稍后启动扫描:AppScan不做任何操作,需要自己手动去启动扫描;
![](https://img2018.cnblogs.com/blog/1278571/201909/1278571-20190917220050830-1424215469.png)
8. 在自动保存面板选择“是”;
![](https://img2018.cnblogs.com/blog/1278571/201909/1278571-20190917220109214-1213653362.png)
9. 将扫描文件保存在本机目录下,然后自动开始第一遍探索;
![](https://img2018.cnblogs.com/blog/1278571/201909/1278571-20190917220124186-1877272909.png)
10. 探索完成获得探索到的结果;
![](https://img2018.cnblogs.com/blog/1278571/201909/1278571-20190917220137570-984354279.png)
11. 尽量完成扫描专家建议;
![](https://img2018.cnblogs.com/blog/1278571/201909/1278571-20190917220149755-1809168423.png)
12. 手动配置环境:提高性能和准确性;
![](https://img2018.cnblogs.com/blog/1278571/201909/1278571-20190917220205353-1767006830.png)
13. 进行继续完全扫描;
![](https://img2018.cnblogs.com/blog/1278571/201909/1278571-20190917220217792-1647085978.png)
14. 测试结束后;
![](https://img2018.cnblogs.com/blog/1278571/201909/1278571-20190917220232039-1086949538.png)
15. 生成测试报告;