IBM Security AppScan 简单实用说明

IBM Security AppScan是较常用的web安全扫描工具,可以用它来进行Web漏洞扫描,本文是简单使用的描述,不涉及深层次的原理。

本文使用IBM Security AppScan Standard 9.0.3.5,扫描浏览器为IE11。

阅读目录

  1. 基本介绍
  2. 前期设置
  3. 扫描创建
  4. 完全扫描

基本介绍

官方网站下载地址:  https://www.ibm.com/cn-zh/security/application-security/appscan

注意Appscan并不是免费,官方提供试用版本。

前期设置

Appscan扫描之前,需要录制浏览器登录系统信息。AppScan自带浏览器不太好用,会报莫名其妙的错误,因此需要设置外接浏览器。

在  工具->选项   的 扫描选项 标签页设置,如下图:

 

IBM Security AppScan 简单实用说明

 

扫描创建

1、常规扫描:

IBM Security AppScan 简单实用说明

 

IBM Security AppScan 简单实用说明

 

 2、输入扫描起始路径。注意,这里如果是本地站点,不要使用localhost,而是使用127.0.0.1。连接成功,会进行 提示。

IBM Security AppScan 简单实用说明

 

 

3、如 需要进行 连接设置,默认即可。

4、登录方法,在记录中,选择 使用外部浏览器(X)(Internet Explorer) 。弹出IE浏览器,进行登录,登录后退出。

注意,在浏览器打开期间,下一步 等按钮不能点。

IBM Security AppScan 简单实用说明

 

如果弹出如下错误,根据提示设置即可:

IBM Security AppScan 简单实用说明

自动检测设置和使用自动配置脚本,全部不选。

IBM Security AppScan 简单实用说明

 

 如确认登录成功,并关闭浏览器后,弹出如下提示,选择是,然后继续。

IBM Security AppScan 简单实用说明

 

5、设置完成,进行保存。保存后,会直接进行扫描专家扫描。

IBM Security AppScan 简单实用说明

 

完全扫描

 扫描之前,可以在 扫描->扫描配置 中设置扫描策略:

IBM Security AppScan 简单实用说明

设置后,点击 完全扫描,进行扫描:

IBM Security AppScan 简单实用说明

扫描结束,可以点击 报告 进行导出pdf。

IBM Security AppScan 简单实用说明

 

IBM Security AppScan 简单实用说明

上一篇:js中的各种常用方法(持续更新中。。。)


下一篇:安卓开发笔记(十六):'Request(okhttp3.Request.Builder)' has private access in 'okhttp3.Request