一、安装包
下载地址见云盘链接:https://pan.baidu.com/s/1gcaIk7mWyCtYcM2gNmWYwQ 密码:rg41
官方文档说明(中文滴)链接:https://pan.baidu.com/s/1CizSWAylEbJ_5xfZDnpvWA 密码:3wkp
参考:https://www.cnblogs.com/mawenqiangios/p/8573525.html
- AppScan 三个核心要素
- 大型网站技术特点分析
- 网站采用多种混合的技术,需要不同的扫描设置
- appscan工作原理 https://blog.csdn.net/loner_fang/article/details/81318095
对web应用进行安全攻击来检查网站是否存在安全漏洞。攻击对象:每一个页面的每一个参数
确定入口url,通过这个入口url,利用爬虫技术,找到整个网站的所有url链接和页面参数,这时候所有的攻击对象已经确定;对页面参数挨个遍历扫描库中的“测试用例”,实际就是利用工具模拟黑客进行攻击,如实际结果与预期结果一致则判断为存在安全隐患。
真正实践中,"测试"阶段会频繁显示站点内的新链接和更多潜在安全风险。因此,完成"探索"和" 测试"的第一个"阶段"后,AppScan 将自动开始一个新的"阶段",以处理新的信息。
整个过程分为“扫描配置-探索-测试-扫描-结果分析”
- 安装步骤 https://www.cnblogs.com/mawenqiangios/p/8573585.html
- 扫描步骤 https://www.cnblogs.com/mawenqiangios/p/8573585.html
- 扫描策略的选择 https://www.cnblogs.com/Lam7/p/7095243.html
- 了解被测网站 https://www.cnblogs.com/Lam7/p/7095243.html
参考:https://www.cnblogs.com/mawenqiangios/p/8573740.html
五、web安全测试规范
参考:https://wenku.baidu.com/view/71fcb1a431b765ce040814cf.html