一. 概念
AppScan是什么:
AppScan是IBM的一款web安全扫描工具,可以利用爬虫技术进行网站安全渗透测试,根据网站入口自动对网页链接进行安全扫描,扫描之后会提供扫描报告和修复建议等。AppScan有自己的用例库,版本越新用例库越全(用例库越全面,对漏洞的检测较全面,被测试系统的安全性则越高)
Appscan工作原理:
(扫描规则库 + 爬行 + 测试)
1)通过探索了解整个web页面结果
2)通过分析,使用扫描规则库对修改的HTTP Request进行攻击尝试
3)分析 Response 来验证是否存在安全漏洞
二.APPScan使用步骤
1.扫描模板的选择:
2. 进入配置向导,选择“自动或手动”
3.输入起始URL,也可扫描其他的域名(输入项目入口地址以外的其他域名)。
4.登录管理-设置登录方法:
记录: 点击“记录”按钮,进行录制登录操作。