AppScan工具介绍与安装
AppScan介绍:
AppScan是IBM的一款web安全扫描工具,主要适用于Windows系统。该软件内置强大的扫描引擎,可以测试和评估Web服务和应用程序的风险检查,根据网站入口自动对网页链接进行安全扫描,扫描之后会提供扫描报告和修复建议等。
AppScan有自己的用例库,版本越新用例库越全(用例库越全面,对漏洞的检测较全面,被测试系统的安全性则越高)
工作原理:
1)通过探索了解整个web页面结果
2)通过分析,使用扫描规则库对修改的HTTP Request进行攻击尝试
3)分析 Response 来验证是否存在安全漏洞
软件特点
-
动态分析(“黑盒扫描”)
这是主要方法,用于测试和评估运行时的应用程序响应。
-
静态分析(“白盒扫描”)
这是用于在完整 Web 页面上下文中分析 JavaScript 代码的独特技术。
-
交互分析(“glass box 扫描”)
动态测试引擎可与驻留在 Web 服务器本身上的专用 glass-box 代理程序交互,从而使AppScan10中文破解版能够比仅通过传统动态测试时识别更多问题并具有更高准确性。
AppScan安装:
- 下载AppScan解压缩,得到获得appscan10中文版原程序和对应破解补丁
- 首先双击“AppScan_Setup_10.0.0.exe”开始安装,选择简体中文
- 将破解补丁文件夹中rcl_rational.dll复制到软件安装目录下替换;
【默认路径C:\Program Files (x86)\HCL\AppScan Standard】
- 然后运行AppScan10,点击”帮助-许可证-切换到IBM许可证“
- 选择打开Appscan License Manager,在”许可证配置-节点锁定许可证文件“中AppScanStandard.txt作为许可证
- 至此,appscan10中文破解版成功激活,所有功能全部免费使用
APPScan使用
- 打开AppScan10中文版,新建扫描,拥有web应用程序、web服务、外部客户机等三种基础扫描方式;
- 扫描配置向导,这里以多多软件站www.ddooo.com为例,输入项目入口访问链接;
- 登录方式记录,可通过自动方式,预先设置正确的用户名密码;
- 设置扫描策略,提供缺省值、侵入式、基础结构、应用程序、第三方等选择,默认为缺省值;
- 配置测试和优化,建议默认快速即可;
- 完成扫描引导配置,软件提供全自动、半自动、手动等几种选项,默认全自动就好;
- 点击完成后,选择自动保存扫描过程后进行自动扫面,等待即可;
59945)]
- 点击完成后,选择自动保存扫描过程后进行自动扫面,等待即可;
[外链图片转存中…(img-F2EXvuZ9-1705283459946)]