AppScan是用于Web项目的安全测试工具,扫描网站所有url,自动测试是否存在各种类型的漏洞。AppScan安装在Windows环境上,版本越高,规则库越安全,扫描越全面。
 
1. 打开AppScan,在欢迎界面点击‘创建新的扫描’;

2. 点击‘常规扫描’,弹出扫描配置向导面板;

3. 在配置向导面板,选择AppScan(自动或手动),然后下一步;

(外部设备/客户机(AppScan作为记录代理)用于APP端扫描)
 
4. 在配置向导的URL框中填入需要扫描系统的网址,然后下一步;

5. 配置向导的登录方法页面,这里选择合适的登录方法便于后续扫描的开展,最常用的是记录和自动,这里选择‘记录’,然后下一步,在弹出窗选择‘是’;

或者,点击记录下的‘使用AppScan浏览器(建议)’在渲染网站后点击我已登录到站点;

6. 选择一种测试策略,常用的是缺省值和完成,这里使用‘完成’,然后下一步;

  测试策略说明:
  • 缺省值:包含多种测试,但不包含侵入式和端口侦听器;
  • 仅应用程序:包含所有应用程序级别的测试,但不包含侵入式和端口侦听器;
  • 仅基础结构:包含所有基础结构级别的测试,但不包含侵入式和端口侦听器;
  • 仅第三方:该策略包含所有第三方级别测试,但侵入式和端口侦听器测试除外;
  • 侵入式:包含所有侵入式测试(可能影响服务器稳定性的测试);
  • 完成:包含所有的AppScan测试,但端口侦听器测试除外;
  • Web Services:该策略包含所有SOAP相关的非侵入式测试;
  • 关键的少数:包含一些成功可能性较高的测试精选,在时间有限时对站点评估可能有用;
  • 开发者精要:包含一些成功可能性极高的应用程序测试的精选,在时间有限时对站点评估可能有用;
  • 生产站点:此策略“排除”可能损坏站点的侵入式测试,或测试可能导致“拒绝服务” 的其他用户;

7. 在完成扫描配置向面板,这里举例选择启动全面自动扫描,然后点击完成;

  • 启动全面扫描:会自动探索URL,而且边探索变扫描页面;
  • 仅使用自动“探索”启动:自动探索URL,不做扫描;
  • 使用“手动探索”启动:手动去访问URL,AppScan会自动记录你访问页面的URL;
  • 我将稍后启动扫描:AppScan不做任何操作,需要自己手动去启动扫描;

8. 在自动保存面板选择“是”;

9. 将扫描文件保存在本机目录下,然后自动开始第一遍探索;

10. 探索完成获得探索到的结果;

11. 尽量完成扫描专家建议;

12. 手动配置环境:提高性能和准确性;

13. 进行继续完全扫描;

14. 测试结束后;

15. 生成测试报告;

AppScan的基础使用的更多相关文章

  1. AppScan基础使用 - 初学篇

    最近找工作,阿里的面试官问过了安全,以前面试中也问到了安全,呆过的公司,朋友呆过的公司,发现安全测试很少 ,可能是应用的比较少. 当今社会安全还是比较重要的,学学有好处,大概了解下  .因为个人比较懒 ...

  2. 使用appscan实现多站扫描简单自动化

    因为appscan在新建扫描任务的时候只能输入一个target,并且没有awvs/nessus那样提供web接口,导致我以前一直以为appscan不能像awvs那样批量建立任务自动扫描. 不过,今天要 ...

  3. 转:Web安全与Rational AppScan入门

    Web 应用的基础概念 在讨论 Web 应用安全之前,先简单介绍一下 Web 应用基础概念,这样便于理解为什么 Web 应用是脆弱的,容易受到攻击. 1. 什么是 Web 应用 Web 应用是由动态脚 ...

  4. 零基础到精通Web渗透测试的学习路线

    小编相信很多新手都会遇到以下几个问题 1.零基础想学渗透怎么入手? 2.学习web渗透需要从哪里开始? 这让很多同学都处于迷茫状态而迟迟不下手,小编就在此贴给大家说一下web渗透的学习路线,希望对大家 ...

  5. AppScan 扫描测试策略

    使用 AppScan 进行扫描 针对大型网站的扫描,我们按照戴明环 PDCA 的方法论来进行规划和讨论,建议 AppScan 使用步骤:计划(Plan).执行(Do).检查(check).分析(Ana ...

  6. 使用 AppScan 进行扫描

    针对大型网站的扫描,我们按照戴明环 PDCA 的方法论来进行规划和讨论,建议 AppScan 使用步骤:计划(Plan).执行(Do).检查(check).分析(Analysis and Action ...

  7. Rational AppScan 标准版可扩展性和二次开发能力简介

    下载:IBM® Rational® AppScan 标准版  |   Web 应用安全与 IBM Rational AppScan 工具包 获取免费的 Rational 软件工具包系列,下载更多的 R ...

  8. AppScan工作原理&操作教程

    一.AppScan的工作原理 对一个综合性的大型网站来说,可能存在成千上万的页面.以登录界面为例,至少要输入用户名和密码,即该页面存在两个字段,当提交了用户名和密码等登录信息,网站需要检查是否正确,这 ...

  9. 使用 Rational AppScan 保证 Web 应用的安全性,第 2 部分: 使用 Rational AppScan 应对 Web 应用攻击

    1 当前 Web 安全现状 互联网的发展历史也可以说是攻击与防护不断交织发展的过程.目前,全球因特网用户已达 13.5 亿,用户利用网络进行购物.银行转账支付和各种软件下载,企业用户更是依赖于互联网构 ...

随机推荐

  1. arm-linux-gcc 的使用

    1. 编译 C 文件,生成 elf 可执行文件 h1.c 源文件 #include <stdio.h> void hellofirst(void) { printf("The f ...

  2. PHP算法之统计全为 1 的正方形子矩阵

    在一个由 0 和 1 组成的二维矩阵内,找到只包含 1 的最大正方形,并返回其面积. 示例: 输入: 1 0 1 0 01 0 1 1 11 1 1 1 11 0 0 1 0 输出: 4 来源:力扣( ...

  3. CF850E Random Elections

    题意:一共有n个人,要在三个人中选prefer,一开始他们心中都会想好他们的排名(共6种),之后给出的判断不会矛盾.规则如下:一共有三轮,分别是a->b,b->c,c->a,每个人选 ...

  4. 【JZOJ6277】矩阵游戏

    description analysis 设所有操作之后,\(f[i]\)表示\(i\)行乘的数,\(g[j]\)表示\(j\)列乘的数,那么 \[Answer=\sum^{n}_{i=1}\sum^ ...

  5. Makefile 从入门到放弃

    //如有侵权 请联系我进行删除 email:YZFHKM@163.com { 什么是makefile?或许很多Winodws的程序员都不知道这个东西,因为那些Windows的IDE都为你做了这个工作, ...

  6. HDU5377

    题意:给sum,m组询问,每组x,y求\(x^t=y\mod p,p|sum\),p是素数,求最小的t 题解:先处理sum的所有质因子p,求出p的原根rt,\(rt^a=x\mod p,rt^b=y\ ...

  7. (20)Oracle函数

    substr 截取字段 substr(字符串,截取开始位置,截取长度) substr(str,n,m) 第二,三参数可以省略, 第二个参数为负数时表示从倒数第n位开始向后截取m个 round(str, ...

  8. day 66 Django基础二之URL路由系统

    Django基础二之URL路由系统   本节目录 一 URL配置 二 正则表达式详解 三 分组命名匹配 四 命名URL(别名)和URL反向解析 五 命名空间模式 一 URL配置 Django 1.11 ...

  9. 【转】5G标准——独立组网(SA)和非独立组网(NSA)

    独立组网模式(SA):指的是新建5G网络,包括新基站.回程链路以及核心网.SA引入了全新网元与接口的同时,还将大规模采用网络虚拟化.软件定义网络等新技术,并与5GNR结合,同时其协议开发.网络规划部署 ...

  10. 17.splash_case02

    # 抓取<我不是药神>的豆瓣评论 import csv import time import requests from lxml import etree fw = open('doub ...