AppScan是用于Web项目的安全测试工具,扫描网站所有url,自动测试是否存在各种类型的漏洞。AppScan安装在Windows环境上,版本越高,规则库越安全,扫描越全面。
 
1. 打开AppScan,在欢迎界面点击‘创建新的扫描’;

2. 点击‘常规扫描’,弹出扫描配置向导面板;

3. 在配置向导面板,选择AppScan(自动或手动),然后下一步;

(外部设备/客户机(AppScan作为记录代理)用于APP端扫描)
 
4. 在配置向导的URL框中填入需要扫描系统的网址,然后下一步;

5. 配置向导的登录方法页面,这里选择合适的登录方法便于后续扫描的开展,最常用的是记录和自动,这里选择‘记录’,然后下一步,在弹出窗选择‘是’;

或者,点击记录下的‘使用AppScan浏览器(建议)’在渲染网站后点击我已登录到站点;

6. 选择一种测试策略,常用的是缺省值和完成,这里使用‘完成’,然后下一步;

  测试策略说明:
  • 缺省值:包含多种测试,但不包含侵入式和端口侦听器;
  • 仅应用程序:包含所有应用程序级别的测试,但不包含侵入式和端口侦听器;
  • 仅基础结构:包含所有基础结构级别的测试,但不包含侵入式和端口侦听器;
  • 仅第三方:该策略包含所有第三方级别测试,但侵入式和端口侦听器测试除外;
  • 侵入式:包含所有侵入式测试(可能影响服务器稳定性的测试);
  • 完成:包含所有的AppScan测试,但端口侦听器测试除外;
  • Web Services:该策略包含所有SOAP相关的非侵入式测试;
  • 关键的少数:包含一些成功可能性较高的测试精选,在时间有限时对站点评估可能有用;
  • 开发者精要:包含一些成功可能性极高的应用程序测试的精选,在时间有限时对站点评估可能有用;
  • 生产站点:此策略“排除”可能损坏站点的侵入式测试,或测试可能导致“拒绝服务” 的其他用户;

7. 在完成扫描配置向面板,这里举例选择启动全面自动扫描,然后点击完成;

  • 启动全面扫描:会自动探索URL,而且边探索变扫描页面;
  • 仅使用自动“探索”启动:自动探索URL,不做扫描;
  • 使用“手动探索”启动:手动去访问URL,AppScan会自动记录你访问页面的URL;
  • 我将稍后启动扫描:AppScan不做任何操作,需要自己手动去启动扫描;

8. 在自动保存面板选择“是”;

9. 将扫描文件保存在本机目录下,然后自动开始第一遍探索;

10. 探索完成获得探索到的结果;

11. 尽量完成扫描专家建议;

12. 手动配置环境:提高性能和准确性;

13. 进行继续完全扫描;

14. 测试结束后;

15. 生成测试报告;

AppScan的基础使用的更多相关文章

  1. AppScan基础使用 - 初学篇

    最近找工作,阿里的面试官问过了安全,以前面试中也问到了安全,呆过的公司,朋友呆过的公司,发现安全测试很少 ,可能是应用的比较少. 当今社会安全还是比较重要的,学学有好处,大概了解下  .因为个人比较懒 ...

  2. 使用appscan实现多站扫描简单自动化

    因为appscan在新建扫描任务的时候只能输入一个target,并且没有awvs/nessus那样提供web接口,导致我以前一直以为appscan不能像awvs那样批量建立任务自动扫描. 不过,今天要 ...

  3. 转:Web安全与Rational AppScan入门

    Web 应用的基础概念 在讨论 Web 应用安全之前,先简单介绍一下 Web 应用基础概念,这样便于理解为什么 Web 应用是脆弱的,容易受到攻击. 1. 什么是 Web 应用 Web 应用是由动态脚 ...

  4. 零基础到精通Web渗透测试的学习路线

    小编相信很多新手都会遇到以下几个问题 1.零基础想学渗透怎么入手? 2.学习web渗透需要从哪里开始? 这让很多同学都处于迷茫状态而迟迟不下手,小编就在此贴给大家说一下web渗透的学习路线,希望对大家 ...

  5. AppScan 扫描测试策略

    使用 AppScan 进行扫描 针对大型网站的扫描,我们按照戴明环 PDCA 的方法论来进行规划和讨论,建议 AppScan 使用步骤:计划(Plan).执行(Do).检查(check).分析(Ana ...

  6. 使用 AppScan 进行扫描

    针对大型网站的扫描,我们按照戴明环 PDCA 的方法论来进行规划和讨论,建议 AppScan 使用步骤:计划(Plan).执行(Do).检查(check).分析(Analysis and Action ...

  7. Rational AppScan 标准版可扩展性和二次开发能力简介

    下载:IBM® Rational® AppScan 标准版  |   Web 应用安全与 IBM Rational AppScan 工具包 获取免费的 Rational 软件工具包系列,下载更多的 R ...

  8. AppScan工作原理&操作教程

    一.AppScan的工作原理 对一个综合性的大型网站来说,可能存在成千上万的页面.以登录界面为例,至少要输入用户名和密码,即该页面存在两个字段,当提交了用户名和密码等登录信息,网站需要检查是否正确,这 ...

  9. 使用 Rational AppScan 保证 Web 应用的安全性,第 2 部分: 使用 Rational AppScan 应对 Web 应用攻击

    1 当前 Web 安全现状 互联网的发展历史也可以说是攻击与防护不断交织发展的过程.目前,全球因特网用户已达 13.5 亿,用户利用网络进行购物.银行转账支付和各种软件下载,企业用户更是依赖于互联网构 ...

随机推荐

  1. cvErode和cvDilate腐蚀和膨胀函数

    Erode腐蚀,Dilate膨胀,这两个形态学函数总是成对出现,前者可以消除较小独点如噪音,后者可以使不连通的图像合并成块. void cvErode( const CvArr* src, CvArr ...

  2. python包的安装

    Microsoft Windows [版本 10.0.17134.228] (c) 2018 Microsoft Corporation.保留所有权利. C:\Users\Administrator& ...

  3. thinkphp5+GatewayWorker+Workerman

    项目地址  ttps://www.workerman.net/workerman-chat thinkphp5+GatewayWorker+Workerman聊天室,可以多人聊天,指定某个人进行聊天, ...

  4. Git合并时遇到冲突或错误后取消合并

    当合并分支时遇到错误或者冲突,分支旁边会多出“|MERGING”这个东西 有这个状态存在时,会导致后面想要再合并的时候提示如下 所以需要先取消这次合并,使用“git merge --abort”命令

  5. echars前端处理数据、pyechars后端处理数据

    echars -- 后端给数据,前端根据数据做渲染 - echarts:https://www.echartsjs.com/zh/index.htmlhtml文件 <!DOCTYPE html& ...

  6. 线性回归代码实现(matlab)

    1 代价函数实现(cost function) function J = computeCost(X, y, theta) %COMPUTECOST Compute cost for linear r ...

  7. java笔试之完全数计算

    完全数(Perfect number),又称完美数或完备数,是一些特殊的自然数. 它所有的真因子(即除了自身以外的约数)的和(即因子函数),恰好等于它本身. 例如:28,它有约数1.2.4.7.14. ...

  8. Oracle 从 dual 表中查询返回多行记录

    同时查询出十条数据 ; 按照这个特性计算两个日期之间的工作日: select days, week as days, to_char(to_date(, 'day') as week from dua ...

  9. UMP系统功能 容灾

  10. (转)nginx配置location总结及rewrite规则写法

    注: rewrite 只能对域名后边的除去传递的参数外的字符串起作用,并且要写全域名后面的部分,如: http://i.com:9090/php/midou/admin.php/index/login ...