appscan10是一款专门为安全专家和测试人员设计的动态应用程序安全测试工具,这样就可以轻松的帮助用户开发更安全的软件,有效的为用户避免在开发生命周期后期出现代价高昂的漏洞。该软件内置强大的扫描引擎,可以自动爬网目标应用程序并测试漏洞,并其中的测试出来的结果会按照优先级的方式来呈现出来,这样就能够使操作员更快速的分类问题并率先完善发现最关键的漏洞,同时,appscan10还会自动为用户们提供明确且可行的修复建议,从而即可更轻松地对每个发现的问题进行补救。而且,该软件拥有全面的安全测试套件,支持测试Web应用程序、Web服务以及移动后端,并会利用基于操作的专有技术和数以万计的内置扫描来持续检查,从而通过这种持续测试和评估Web服务和应用程序的风险检查,更有助于防止破坏性的安全漏洞。
一、AppScan的下载安装
安装包的路径:
1、下载解压缩,得到获得appscan10中文版原程序和对应破解补丁;
2、双击AppScan_Setup_10.0.0.exe程序;
3、勾选“我接受许可协议中的全部条款”,然后继续安装;
4、选择软件安装路径,默认即可;
5、安装完成后先不要运行软件,点击完成退出引导;
6、将破解补丁文件夹中rcl_rational.dll复制到软件安装目录下替换;
【默认路径C:\Program Files (x86)\HCL\AppScan Standard】
7、然后运行AppScan10,点击”帮助-许可证-切换到IBM许可证“;
8、选择打开Appscan License Manager,在”许可证配置-节点锁定许可证文件“中AppScanStandard.txt作为许可证;
9、至此,appscan10中文破解版成功激活,所有功能全部免费使用。
二、AppScan的使用
自动扫描:
1、双击打开appscan,点击扫描web应用程序;(以元数据管理产品为示例:http://192.168.0.211:8920/#/login)
说明:若只对Web程序本身的漏洞检测,就选Web 应用程序扫描即可;若需要对Web服务进行扫描,则选择Web Service
2、在起始url中输入你要扫描web系统的url,若显示已连接到服务器,且点击在浏览器中查看后可打开应用的界面,即可进行安全测试;
备注:由于appscan默认使用appscan IE浏览器,有时存在无反应情况,故可根据测试系统适配的浏览器进行设置,在菜单栏点击工具--》选项--》首选项--》记录并查看浏览器--》appscan Chromium浏览器即可打开;
3、设置登录管理;(以记录为示例)
说明:
1.若登录方法选择“记录”,则可通过界面右侧的“记录(R)”按钮打开APPScan内置浏览器并输入登录信息,内置浏览器会自动关闭,AppScan即可记录该用户名和密码,扫描的时候相当于是已登录此账户的状态进行扫描;【记录登录时可多操作一些菜单或者链接,若时间过短,会话可能检测失败,无法记录上登录信息】
2.若选择“提示”,则根据网站扫描探索过程中需要登录会提示输入登录信息,人工输入正确的账号信息之后继续扫描;
3.若选择“自动”,则填写用户名和密码,APPScan在扫描过程中,会自动使用用户名和密码登录继续扫描;
4.若选择“无”,则不需输入登录账户)
4、登录管理详细信息,显示刚刚记录的登录信息,点击验证,可对已保存的登录信息进行回放验证;
5、测试策略我们一般默认选择缺省值;
6、测试优化我们一般默认快速,直接点击下一步;
7、点击完成,点击是后等待扫描结束;
手动扫描:
在软件上点击‘手动探索’,选择对应的内置浏览器(这里我们选择appscan Chromium浏览器)
若没有配置起始的url,点击是,去配置起始的url,应用后再次点击‘手动探索’,选择对应的内置浏览器
选择完对应的内置浏览器后,会自动打开初始url地址并开始录制脚本,此时可登录系统,进行元数据产品所有功能的操作,操作结束后,点击确定按钮;
此时会显示出手动探索发送的所有数据,点击确定进行扫描
扫描结束后,点击报告,设置导出报告的内容、样式和布局,点击保存报告即可;