IBM Security AppScan是较常用的web安全扫描工具,可以用它来进行Web漏洞扫描,本文是简单使用的描述,不涉及深层次的原理。
本文使用IBM Security AppScan Standard 9.0.3.5,扫描浏览器为IE11。
阅读目录
基本介绍
官方网站下载地址: https://www.ibm.com/cn-zh/security/application-security/appscan
注意Appscan并不是免费,官方提供试用版本。
前期设置
Appscan扫描之前,需要录制浏览器登录系统信息。AppScan自带浏览器不太好用,会报莫名其妙的错误,因此需要设置外接浏览器。
在 工具->选项 的 扫描选项 标签页设置,如下图:
扫描创建
1、常规扫描:
2、输入扫描起始路径。注意,这里如果是本地站点,不要使用localhost,而是使用127.0.0.1。连接成功,会进行 提示。
3、如 需要进行 连接设置,默认即可。
4、登录方法,在记录中,选择 使用外部浏览器(X)(Internet Explorer) 。弹出IE浏览器,进行登录,登录后退出。
注意,在浏览器打开期间,下一步 等按钮不能点。
如果弹出如下错误,根据提示设置即可:
自动检测设置和使用自动配置脚本,全部不选。
如确认登录成功,并关闭浏览器后,弹出如下提示,选择是,然后继续。
5、设置完成,进行保存。保存后,会直接进行扫描专家扫描。
完全扫描
扫描之前,可以在 扫描->扫描配置 中设置扫描策略:
设置后,点击 完全扫描,进行扫描:
扫描结束,可以点击 报告 进行导出pdf。