1、简介
(1)AppScan是IBM的一款商业化的web安全扫描工具,可以利用爬虫技术进行网站安全渗透测试,根据网站入口自动对网页链接进行安全扫描,扫描之后会提供扫描报告和修复建议等。
2、工作原理
(1)通过探索了解整个web页面结果
(2)通过分析,使用扫描规则库对修改的HTTP Request进行攻击尝试
(3)分析 Response 来验证是否存在安全漏洞
3、安装激活教程
下载地址:
链接:https://pan.baidu.com/s/1a1dYMmk3WfzkVL-nKHUjog?pwd=mm8b
提取码:mm8b
1、下载解压后Appscan_Setup_10071.exe和crack等文件,双击Appscan_Setup_10071.exe开始安装软件,如图
2、勾选协议,点击下一步
3、点击更改按钮选择更换软件安装目录(可以安装到D盘或者E盘),默认目录:C:\Program Files (x86)\HCL\AppScan Standard\,如下图所示
4、等待安装完成,注意这个过程需要一点时间,请大家耐心等待,安装完成后如下图所示。
5、在安装激活补丁前,首先要打开软件的安装目录,如果忘记软件的安装目录,请返回到桌面,找到软件的桌面快捷图标,并右键点击图标,出现弹窗后选择“打开文件位置”即可获得文件安装目录。如下图所示。
6、然后打开nGen_Crack文件夹,将里面的.dll文件复制到软件安装目录中去替换
7、运行软件,点击帮助-关于,即可看到软件已经用就激活,(注意:软件安装完成后,如果不是中文界面,大家可以安装下面的方法更换软件操作语言;)如图
8、中文设置教程
点击close,最后重启软件即可。(注意:如果大家重启软件后,还是没有更换到中文界面,可以在操作一次中文设置步骤,然后重启软件即可。脚本之家小编久设置了3遍才完成中文界面设置!)
4、具体使用规则
1、点击web基本
2、填入url后勾选“仅扫描此目录中或目录下的链接”。点击下一步
3、选择记录-AppScan Chromium浏览器后,点击下一步
4、打开URL后输入用户名、密码后点击【我已登录到站点】(我这里步骤3中选择的是第一个Recorded,大家可以根据自己实际情况选择)
5、选择一种测试策略(本例以完成为例):
几种测试策略说明:
- 缺省值:包含多有测试,但不包含侵入式和端口侦听器
- 仅应用程序:包含所有应用程序级别的测试,但不包含侵入式和端口侦听器
- 仅基础结构:包含所有基础结构级别的测试,但不包含侵入式和端口侦听器
- 侵入式:包含所有侵入式测试(可能影响服务器稳定性的测试)
- 完成:包含所有的AppScan测试
- 关键的少数:包含一些成功可能性较高的测试精选,在时间有限时对站点评估可能有用
- 开发者精要:包含一些成功可能性极高的应用程序测试的精选,在时间有限时对站点评估可能有用。
6、然后点左上角【开始完全扫描】
7、报告导出:点击工具-创建报告(或者左侧菜单-报告)进入报告导出设置界面
8、根据实际情况选择导出模板,然后选择导出报告保存本地路径