软件测试大叔

接触安全测试的亲身经历，纪念一下踩坑的过程。01—第一次亲密接触第一次接触安全测试是在公司A。这是一个web项目，由于要放置在公网上，所以需要安全测试。此前我所接触的web项目都是在内网的，没怎么关注过安全方面。这次说要做安全测试，我也是一脸懵逼的。有牛人提出，先用AppScan扫描就行了。可是我还是第一次听说这个AppScan。没办法，硬着头皮上吧。急急忙忙的百度，想尽量多的了解相关的信息。我开始安装AppScan，然后对web项目进行扫描。现在大家可能觉得挺...

使用过程中扫描卡住了，暂停按钮也灰掉了在资源管理器中可以看到AppScanEngineAgent.exe进程，一般来说是它卡死了，结束进程后，稍等一会，扫描会继续；为了降低其卡死的几率，可以降低并发线程数，在配置>连接>通信和代理中设置线程数，默认是10，可以减少一些。不在会话内可以尝试在登录管理中换一种登录的方式，经过多次尝试，发现这个登录最为稳定：记录&g...

AppScan是用于web项目的安全测试工具，扫描网站所有url，自动测试是否存在各种类型的漏洞。在开始做安全扫描测试之前，需要做如下准备工作：被测web系统的用户名和密码，建议是具有所有页面权限的用户，这样才能测试到所有页面。 做好数据库的备份；因为AppScan扫描会注入很多测试数据，甚至注入一些数据，导致系统功能不可用。做好数据库的备份，可以在开发修改问题后，恢复数据库，再次...