一、安装

1、右键安装文件,以管理员身份运行,如下图所示:

2、点击【确定】

3、点击【安装】

4、选择:我接受许可协议中单位全部条款,点击【下一步】

5、点击【安装】到该目录

6、如果需求扫描Web services点击【是】安装该插件,如果不需要点击【否】如果只是扫描web就不需要安装

7、点击【完成】

8、安装完成之后把LicenseProvider.dll文件将它复制放到安装目录下覆盖原来的

二、使用步骤

计划阶段:明确目的,进行策略性的选择和任务分解。

1) 明确目的:选择合适的扫描策略

2) 了解对象:首先进行探索,了解网站结构和规模

3) 确定策略:进行对应的配置

a) 按照目录进行扫描任务的分解

b) 按照扫描策略进行扫描任务的分解

执行阶段:一边扫描一遍观察

4) 进行扫描

5) 先爬后扫(继续仅测试)

检查阶段(Check)

6) 检查和调整配置

结果分析(Analysis)

7) 对比结果

8) 汇总结果(整合和过滤)

三、使用教程

1.appscan的启动与基本配置

说明:这里也可以先点击左下角的“完全扫描配置”选项进行扫描配置(后面再具体讲扫描配置)。

在“起始URL”下面输入需要启动扫描的URL,如果勾选了“仅扫描此目录中或目录下的链接”(如下图),则会只扫描起始URL目录或者子目录中的链接。

举例:如果我们的网站www.sina.com.cn下面有两个目录test1和test2,当起始URL中输入"http://www.sina.com.cn/test1/"并勾选“仅扫描此目录中或目录下的链接”的时候,appscan不会扫描“www.sina.com.cn/test2”目录下的所有链接。

另外,如果被扫描对象的主机是unix或者linux,建议勾选下面的“将所有路径作为区分大小写来处理(Unix、Linux等)(T)”选项(如下图),因为unix或者linux是对大小写敏感的;如果被扫描对象的主机是windows主机,则没有必要勾选此项。

​ 如果扫描的时候需要顺便扫描其它的服务器或者域,则需要在底下的“其它服务器和域”中添加对应的路径(如下图)。

​ 做完上述操作后,点击“下一步”。

在显示的配置向导的登录方法页面,可以选择合适的登录方法便于后续扫描的开展。

​ 最长用的登录方法有两种:记录和自动,这里不是重点,以“记录”为例。

​ 记录:如果选择“记录”,左边会显示如下图的界面

点击“记录”按钮,会弹出浏览器加载上面输入的扫描起始URL,这个时候正常的像操作web界面一样输入用户名/密码登录被测系统后,直接点击关闭窗口按钮即可,这个过程中会把整个登录过程给录制下来用于后面的登录验证(如下图)。

其它的保持默认选择,直接点击“下一步”按钮即可。

​ 如果需要在登录注销页面上进行攻击测试,则需要勾选“发送登录和注销页面上的测试”两个勾选框(如下图),然后点击下一步。

测试策略选择步骤如下:

1选择缺省的扫描策略,切换到按照“类型”分类,取消掉“基础结构”和“应用程序”两种类型。

说明:把扫描策略置空,没有选择任何的扫描策略。在分组类型中选择“类型”分类,类型分类中只有两种类型:“基础结构”和“应用程序”,可以快速全部都取消掉。

2分组类型,切换到“WASC威胁分类”,选择“SQL注入”和“跨站点脚本编制”。

3.分组类型,切换到“类型”,发现这时候“基础结构”和“应用程序”两种类型的扫描策略都是选择上的模式,而且是虚线,说明这两种类型下均有部分扫描策略被选择了,我们不关心“基础结构”级别的安全问题,所以在这里取消“基础结构”。

4.分组类型,切换到“侵入式”,发现这时候“侵入式”和“非侵入式”两种类型的扫描策略都是选择上的模式。“侵入式”会有有比较强的副作用,可能对系统造成伤害,所以一般扫描生产系统的时候,很少选择。这里把“侵入式”的用例取消掉。

把选择好的测试策略,我们可以把它导出成一个模板,方便以后使用:

在完成扫描配置向导页面,选择对应的的启动方式,默认情况下采用“启动全面扫描”,并勾选“完成扫描配置向导后启动扫描专家”选项,然后点击完成即可(如下图)。

到此为止,完成了appscan的基本扫描配置,已经基本上满足大多数常用扫描场景的需求

2.模板管理

为了防止每次扫描的时候都要进行上述设置,可以在设置好之后导出为模板(上图中左下角有“导出为模板”的菜单),这样一来,每次扫描同样的业务的时候,只要装入对应的模板就可以了,不需要重新设置繁琐的配置项。

3.注意事项

进行appscan扫描的时候,最好在关闭防火墙的情况下扫描,这样在漏洞攻击过程中appscan的等待相应时间短,攻击成功率搞,测试结果相对准确;会从整体上提高扫描效率和扫描准确度。

Appscan 的安装与使用的更多相关文章

  1. WEB安全漏洞扫描与处理(上)——安全漏洞扫描工具AppScan的安装使用

    很多公司对软件会有安全的要求,一般测试公司会使用安全漏洞扫描工具对软件进行漏扫,然后给出安全报告,然后软件开发人员会根据提供的安全报告进行漏洞的处理.我们接触到的测评公司,使用的是漏洞扫描工具AppS ...

  2. Appscan的安装破解以及使用

    本文简单介绍Appscan的安装和使用. 一.下载安装 可自行百度下载相关安装包(因较高版本的破解资料比较难找,建议下载9.0版本). 双击.exe安装文件进行安装,在弹出的安装指引中各选项默认安装即 ...

  3. (一)AppScan的安装及破解

    IBM AppScan是一款目前最好用的Web 应用安全测试工具,Rational AppScan 可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL ...

  4. AppScan 10安装使用

    一.简介 AppScan是IBM的一款web安全扫描工具,具有利用爬虫技术进行网站安全渗透测试的能力,能够根据网站入口自动摸取网页链接进行安全扫描,提供了扫描.报告和修复建议等功能. appscan有 ...

  5. Appscan安装问题记录 + 最后问题解决的方法 和安装步骤

    最后环节有问题,无法创建常规任务,腰折, 估计是在安装环节不可以忽略下面的报错,有空解决一下这个问题 解决: 安装了一个虚拟机W7系统 可以安装成功 appscan9.0.3要W8的系统 最后装了ap ...

  6. WindowXP与WIN7环境安装、破解、配置AppScan8.0

    ---------------------------------------------------------------------------------------------------- ...

  7. Appscan

    IBM AppScan该产品是一个领先的 Web 应用安全测试工具,曾以 Watchfire AppScan 的名称享誉业界.Rational AppScan 可自动化 Web 应用的安全漏洞评估工作 ...

  8. 安全测试===appscan扫描工具介绍

    IBM AppScan该产品是一个领先的 Web 应用安全测试工具,曾以 Watchfire AppScan 的名称享誉业界.Rational AppScan 可自动化 Web 应用的安全漏洞评估工作 ...

  9. IBM Rational AppScan使用详细说明

    转自:http://www.nxadmin.com/tools/675.html 本文将详细介绍Appscan功能选项设置的细节,适合E文一般,初次接触Appscan的童鞋参考阅读. Appscan是 ...

随机推荐

  1. ubuntu之路——day11.2 快速搭建系统并进行迭代、在不同的划分上进行训练和测试

    快速搭建系统并进行迭代 1.建立dev/test set,并确定你的目标 2.快速建立初始化的系统 3.使用前面提到的bias/variance分析和错误分析来进行模型优化和迭代 针对以上的过程,An ...

  2. JavaScript 如何工作的: 事件循环和异步编程的崛起 + 5 个关于如何使用 async/await 编写更好的技巧

    原文地址:How JavaScript works: Event loop and the rise of Async programming + 5 ways to better coding wi ...

  3. js 对象 toJSON 方法

    浅谈 js 对象 toJSON 方法   前些天在<浅谈 JSON.stringify 方法>说了他的正确使用姿势,今天来说下 toJSON 方法吧.其实我觉得这货跟 toString 一 ...

  4. 透过字节码分析Java动态代理机制。

    一.创建动态代理代码 1.创建接口 public interface Subject { void request(); } 2.创建接口实现类 public class RealSubject im ...

  5. JVM 接口初始化规则

    1.创建两个接口,MyParent5接口,MyChild5 接口继承自MyParent5接口 public class MyTest5 { public static void main(String ...

  6. python PIL/cv2/base64相互转换

    PIL和cv2是python中两个常用的图像处理库,PIL一般是anaconda自带的,cv2是opencv的python版本.base64在网络传输图片的时候经常用到. ##PIL读取.保存图片方法 ...

  7. Windows环境下最新OpenCV和Contribute代码的联合编译【20190505更新红字】

    解决这个问题,目的在于获得并使用最新的完全版本的代码,主要方法是对CMake能够熟练使用,并且对编译等基础支持有所了解. 因为这篇博客经过多次修改,所以里面的内容和配图可能有不是完全比对的地方,但是只 ...

  8. yii2 下的redis常用命令集合

    <?php \Yii::$app->redis->set('user','aaa'); \Yii::$app->redis->set('user2','bbb'); \Y ...

  9. radioButon的使用

    界面: <?xml version="1.0" encoding="utf-8"?> <TableLayout xmlns:android=& ...

  10. openresty开发系列4--nginx的配置文件说明

    openresty开发系列4--nginx的配置文件说明 Nginx基本配置 Nginx的主配置文件是:nginx.conf,nginx.conf主要组成如下: # 全局区   有一个工作子进程,一般 ...