AppScan的基础使用

  AppScan是用于Web项目的安全测试工具,扫描网站所有url,自动测试是否存在各种类型的漏洞。AppScan安装在Windows环境上,版本越高,规则库越安全,扫描越全面。
 
1. 打开AppScan,在欢迎界面点击‘创建新的扫描’;
AppScan的基础使用
AppScan的基础使用 

2. 点击‘常规扫描’,弹出扫描配置向导面板;

AppScan的基础使用
AppScan的基础使用

 

3. 在配置向导面板,选择AppScan(自动或手动),然后下一步;

(外部设备/客户机(AppScan作为记录代理)用于APP端扫描)
AppScan的基础使用
AppScan的基础使用
 
4. 在配置向导的URL框中填入需要扫描系统的网址,然后下一步;
AppScan的基础使用
AppScan的基础使用

 

5. 配置向导的登录方法页面,这里选择合适的登录方法便于后续扫描的开展,最常用的是记录和自动,这里选择‘记录’,然后下一步,在弹出窗选择‘是’;

AppScan的基础使用
AppScan的基础使用
或者,点击记录下的‘使用AppScan浏览器(建议)’在渲染网站后点击我已登录到站点;
AppScan的基础使用

 

6. 选择一种测试策略,常用的是缺省值和完成,这里使用‘完成’,然后下一步;

  测试策略说明:
  • 缺省值:包含多种测试,但不包含侵入式和端口侦听器;
  • 仅应用程序:包含所有应用程序级别的测试,但不包含侵入式和端口侦听器;
  • 仅基础结构:包含所有基础结构级别的测试,但不包含侵入式和端口侦听器;
  • 仅第三方:该策略包含所有第三方级别测试,但侵入式和端口侦听器测试除外;
  • 侵入式:包含所有侵入式测试(可能影响服务器稳定性的测试);
  • 完成:包含所有的AppScan测试,但端口侦听器测试除外;
  • Web Services:该策略包含所有SOAP相关的非侵入式测试;
  • 关键的少数:包含一些成功可能性较高的测试精选,在时间有限时对站点评估可能有用;
  • 开发者精要:包含一些成功可能性极高的应用程序测试的精选,在时间有限时对站点评估可能有用;
  • 生产站点:此策略“排除”可能损坏站点的侵入式测试,或测试可能导致“拒绝服务” 的其他用户;
AppScan的基础使用
AppScan的基础使用

 

7. 在完成扫描配置向面板,这里举例选择启动全面自动扫描,然后点击完成;

  • 启动全面扫描:会自动探索URL,而且边探索变扫描页面;
  • 仅使用自动“探索”启动:自动探索URL,不做扫描;
  • 使用“手动探索”启动:手动去访问URL,AppScan会自动记录你访问页面的URL;
  • 我将稍后启动扫描:AppScan不做任何操作,需要自己手动去启动扫描;
AppScan的基础使用
AppScan的基础使用

 

8. 在自动保存面板选择“是”;

AppScan的基础使用
AppScan的基础使用

 

9. 将扫描文件保存在本机目录下,然后自动开始第一遍探索;

AppScan的基础使用
AppScan的基础使用

 

10. 探索完成获得探索到的结果;

AppScan的基础使用
AppScan的基础使用

 

11. 尽量完成扫描专家建议;

AppScan的基础使用
AppScan的基础使用

 

12. 手动配置环境:提高性能和准确性;

AppScan的基础使用
AppScan的基础使用

 

13. 进行继续完全扫描;

AppScan的基础使用
AppScan的基础使用

 

14. 测试结束后;

AppScan的基础使用
AppScan的基础使用

 

15. 生成测试报告;

AppScan的基础使用

AppScan的基础使用

AppScan的基础使用

上一篇:http类中的download方法 下载汉字文件名 汉字消失的问题


下一篇:Spring注解--实现applicationContext.xml效果