App Scan用法:
 
首先打开IBM Security AppScan Standard 工具
 
点击 创建新的扫描 ->  点击”常规扫描“ ->之后你就会看到如下图:
 
 
这里你可以直接点击 ”下一步“ 或是点击 ”完整扫描配置“
 
先点击 ”完整扫描配置“
 
URL 和服务器
1.在起始URL中输入你要扫描的网站网址
2.你的系统中可能还包括其他的域名可以在这里添加,注意格式要求(不能直接输入整个网址,可以使用fiddler4检测工具 获得系统所访问的地址)
 
点击 登录管理:
如果的你系统刚开始要登录的话这里要进行设置,如果不需要登录直接选择 选中” 无“ 即可。
 
需要登录的话  鼠标移到 ”登录“按钮后点击上图的 ”使用AppScan 浏览器“ 就会根据你的URL 打开登录页面,要你输入账号和密码
(我测试的这个页面没有登录界面) ,当登录成功后点击 ”我已登录到站点“ 按钮,这样就会记录你的登录序列 
 
 
 
记录成功后,点击 标签 ”详细信息“ 可以查看到验证的成果
 
 
环境定义 可以不进行更改 直接默认就好
 
排除路径和文件
有需要的排除的路径和文件 可以在这里添加。(我之前扫描这个系统,有个路径执行saveOrUpdate操作,每次执行到这类路径,扫描就扫不动了,而且总是会session重复登录,之后在这边把它排除掉,扫描速度就提了好多。所以对于那些无关紧要的网址可以在这边排除掉)
 
探索选项  要适当进行修改
 
Glass Box 
 
连接-
通信 和代理
 
 
 
其他的一般情况 就不需要进行设置了,默认就好了。 设置完后你可以导出为模板,以便下次使用。
确定按钮 后 又返回到下图:
 
因为你之前以及设置过了,所以一直点 ”下一步“,
 
点击 完成 后 如果勾选了 扫描专家 ,会先启动 扫描专家 进行扫描优化(我比较烦这个,所以不勾选)
直接进入扫描了。
 
如上图: AppScan 的扫描 分三类:完全扫描 、仅探索、仅测试 
 
如果系统需要扫描的页面或是元素较少 可以直接选中 完全扫描(其实就是探索和测试一条龙服务)
 
如果页面需要扫描的页面和元素比较多时,可以分开来,先探索,探索完成后再进行测试。
 
探索也就是 扫描出整个系统的基本结构和页面。
测试 就是根据你所配置的信息 如测试策略、深度等等 对页面中的元素进行测试 从而得出安全性问题
 
如果只是对系统中某个模板进行 扫描的话,可以 通过 ”手动探索“ 获取需要扫描的指定页面 
 
 
在页面中 点击到你需要测试的模块页面,后单击 ”暂停记录“ 按钮 后关闭页面。
 
 
之后就会打开下面的对话框,里面的url 就是是手动点击页面的 所包含的url连接
 
 
 
扫描完成后可以 生成各种类型的 扫描报告,这个还是不错的,不然要自己去写就太坑了。
 
 
扫描日志:在扫描过程中可以查看扫描的一些信息
 
 
扫描的页面还有许多有用的功能,以及很有帮助的设置,可以去网上查找。
 
扫描的结果截屏:
 
之前 扫描个系统,测试的元素太多,服务器又时常会连不上,花了28个小时。所以合理配置扫描信息还是蛮重要的
 

AppScan--图解Web扫描工具IBM Security App Scan Standard的更多相关文章

  1. IBM Security App Scan Standard 工具的使用

    1.AppScan是什么? AppScan是IBM的一款web安全扫描工具,可以利用爬虫技术进行网站安全渗透测试,根据网站入口自动对网页链接进行安全扫描,扫描之后会提供扫描报告和修复建议等. AppS ...

  2. IBM Security App Scan 资料整理

    转自:http://blog.csdn.net/u013147600/article/details/50002089 这是学习和使用IBM AppScan过程中总结整理的一些资料.   扫描系统操作 ...

  3. IBM Security AppScan Standard WEB扫描工具

    IBM Security AppScan Standard是一款著名的web漏洞扫描工具, 可以设定登录账户,录制登录 扫描完成后可以生成报告,生成的报告非常详细

  4. Arachni web扫描工具

    扫描工具-Arachni from:https://blog.csdn.net/zixuanfy/article/details/52818527 ./arachni_console         ...

  5. web扫描工具-Nikto介绍与使用

    Nikto Perl语言开发的开源Web安全扫描器 web扫描模式:截断代理主动扫描 可以扫描的方面:软件版本搜索存在安全隐患的文件服务器配置漏洞WEB Application层面的安全隐患避免404 ...

  6. nikto for windows(web扫描工具) 使用教程

    本文出处: 欧普软件 ----------------------------------------------------------------------------------------- ...

  7. IBM Security AppScan Glass Box:一种全新的漏洞扫描思想

    IBM Security AppScan Glass Box:一种全新的漏洞扫描思想 Glass Box 是 IBM Security AppScan Standard Edition(以下简称 Ap ...

  8. 小白日记29:kali渗透测试之Web渗透-扫描工具-Vega

    WEB扫描工具-Vega 纯图形化界面,Java编写的开源web扫描器.两种工作模式:扫描模式和代理模式[主流扫描功能].用于爬站.处理表单,注入测试等.支持SSL:http://vega/ca.cr ...

  9. 扫描工具Nikto-安全牛课堂网络安全之Web渗透测试练习记录

    web扫描工具大都支持两种模式:代理扫描和主动扫描 Nikto 扫描内容 扫描软件版本.存在安全隐患的文件.服务器配置漏洞.服务器配置漏洞.web应用安全隐患 常用命令 nikto -list-plu ...

随机推荐

  1. java 反射原理写了一个赋值和取值通用类

    首先了解一下反射的原理,什么是反射?所谓的反射就是指java 语言在运行时拥有一项自观的能力,反射能使你得到装载到 jvm 中的类的内部信息,它不需要你在编码的时候就知道所需类的内部信息,允许程序执行 ...

  2. [rrdtool]监控和自己主动绘图,简单的监控.md

    如今想要监控服务的流量和并发数,但是又没那么多时间来写系统.其它的运维系统又不熟悉,于是就用现有的rrdtool shell做了个简单的监控界面,暂时用下,也算是个小实验把. rrdtool也是刚接触 ...

  3. python模块uuid产生唯一id

    使用版本4:uuid4就可以了 UUID4缺点:糟糕的随机数发生器使得它更有可能发生碰撞,但是概率真的很小 UUID1缺点:暴露隐私 If all you want is a unique ID, y ...

  4. Solr4.4入门,介绍Solr的安装、IK分词器的配置及高亮查询结果(转)

    一.Windows下安装solr-4.4.0 1.  下载solr.4.4 2.  下载绿色版tomcat6.0.18 3.  解压下载的solr到d:\study\solr,将dist目录下的sol ...

  5. Reboot server stuck at “Press ESC in 1 seconds to skip startup.nsh”

    I have a Cisco C240 server, and everytime after reboot, it will got stuck at screen like below. To r ...

  6. mybatis 乐观锁和逻辑删除

    本篇介绍easymybatis如配置乐观锁和逻辑删除. 乐观锁 easymybatis提供的乐观锁使用方式跟JPA一样,使用@Version注解来实现.即:数据库增加一个int或long类型字段ver ...

  7. 创建SQL作业错误的解决方法(不能将值 NULL 插入列 'owner_sid',表 'msdb.dbo.sysjobs';列不允许有空值。)

    在用SQL语句创建SQL Server作业时有时出现如下错误: 消息 515,级别 16,状态 2,过程 sp_add_job,第 137 行 不能将值 NULL 插入列 'owner_sid',表  ...

  8. 关于LINQ和SQL操作数据库的性能测试(转)

    微软linq技术已经出现很久,很多公司已经开始商业使用,作为我们暂时没有用到的人来说,也应该适当的了解下相关知识,但是直到目前网络上对他的看法仍然是褒贬不一,当然任何事情都不可能完美的,下面就针对大多 ...

  9. javascript——选择行之后才可以进行控制操作

  10. 性能测试vs负载测试vs压力测试

    下面我们主要介绍性能测试.负载测试和压力测试. 效率作为ISO 9126内部和外部质量的重要质量属性之一,其含义是在规定条件下,相对于所用的资源的数量,软件产品可提供适当性能的能力.资源可能包括其他软 ...