IBM Appscan基本操作手册
一、操作前提
1.首先下载Appscan的安装包
2.安装Appscan
二、操作流程
1.双击
图标,打开Appscan软件
2.打开软件后,页面显示如下:

3.选择“文件-新建”,弹出如下的窗口:

4.点击“常规扫描”,页面如下:

5.选择“Appscan(自动或手动)”,点击下一步,如图:

6.在“起始URL”处输入将要扫描的系统的URL,点击下一步,如图:

7.选择“自动”,输入用户名和密码,如图:

8.点击下一步,如图:

9.默认,点击下一步,如图:

注:一般常用的是“启动全面自动扫描”和“使用“手动探索”启动”,二者区别如下:
1)启动全面自动扫描:工具自动对系统进行扫描,扫描完毕后会显示扫描结果。不过使用此种方式扫描不全,类似插件的模块扫描不到。
2)使用“手动探索”启动:测试人员可以自由灵活的对所有模块进行扫描操作,扫描结果更加细致。下面以手动探索为例。
10.选择 “使用“手动探索”启动 ,点击完成。通过浏览器打开扫描的页面,如下:

11.进行测试操作,录制脚本,脚本录制完毕后,关闭浏览器。Appscan页面显示录制的脚本信息,如下图:

12.点击“导出”按钮,保存录制的脚本,关闭窗口。点击“文件-导入-探索数据”,选择刚才录制的脚本。

13.脚本添加完毕,如下图:

14.点击“扫描-继续仅探索”

15.弹出如下窗口:

16.选择“是”,保存扫描结果后,开始进行扫描操作。
17.扫描停止后,点击“扫描-仅测试”,如下图:

18.开始进行安全测试,捕获漏洞,如下图:

注:下方显示扫描进度。
19.扫描完毕后,扫描界面显示如下图:

注:
1)界面中间显示存在的漏洞类型,展开可查看漏洞的URL;
2)右侧显示具体的漏洞信息,可查看详情
20.点击界面的“报告”按钮,如下图所示:

21.勾选“在每个问题之后加入分页(PDF)”,勾选左侧的全部信息(为使报告更加详细),如下图:

22.点击“保存报告”,可将报告保存到本地电脑。
IBM Appscan基本操作手册的更多相关文章
- AppScan操作手册
AppScan操作手册 转自:http://blog.51cto.com/zhouanya/1388681 1.SQL注入 1.1.什么是sql注入 所谓SQL注入(SQL Injection), ...
- IBM appscan 9.0破解版分享
简介:IBM AppScan该产品是一个领先的 Web 应用安全测试工具,曾以 Watchfire AppScan 的名称享誉业界.Rational AppScan 可自动化 Web 应用的安全漏洞评 ...
- 启用了不安全的HTTP方法解决办法 IBM APPSCAN
启用了不安全的HTTP方法解决办法 IBM APPSCAN 安全风险: 可能会在Web 服务器上上载.修改或删除Web 页面.脚本和文件. 可能原因: Web 服务器 ...
- IBM AppScan 安全扫描:支持弱 SSL 密码套件 分类: 数据安全 2014-06-28 11:34 1844人阅读 评论(0) 收藏
问题描述: 解决方法: 1.Server 2008(R2) 根据appScan的修订建议访问地址:http://msdn.microsoft.com/en-us/library/windows/d ...
- Windows Azure 基本操作手册
http://www.cnblogs.com/sennly/p/4139663.html 基本测试信息 登陆地址:https://manage.windowsazure.cn(Azure管理门户,适用 ...
- IBM AppScan 安全扫描:加密会话(SSL)Cookie 中缺少 Secure 属性 处理办法 分类: 数据安全 2014-06-28 11:35 2805人阅读 评论(0) 收藏
问题描述: 原因分析: 服务器开启了Https时,cookie的Secure属性应设为true: 解决办法: 1.服务器配置Https SSL方式,参考:https://support.micro ...
- (转)IBM AppScan 安全漏洞问题修复(.net)
原文:https://www.cnblogs.com/anngeiBKY/p/4952269.html 按问题类型分类的问题 使用 SQL 注入的认证旁路2 已解密的登录请求3 登录错误消息凭证枚举1 ...
- PLSQL基本操作手册
第1章 用PLSQL连接Oracle数据库 PLSQL只能用来连接Oracle数据库(不象PB还可以连接JDBC.ODBC),所以必须首先安装并配置Oracle客户端. §1.1 初次登录PLSQL ...
- IBM AppScan 安全漏洞问题修复(.net)
按问题类型分类的问题 使用 SQL 注入的认证旁路2 已解密的登录请求3 登录错误消息凭证枚举1 会话标识未更新2 跨站点请求伪造1 Missing "Content-Security-Po ...
随机推荐
- 在网页标题栏上和收藏夹显示网站logo
第一步,准备一个图标制作软件. 首先您必须了解所谓的图标(Icon)是一种特殊的图形文件格式,它是以.ico 作为扩展名.普通的图像设计软件无法使用这种格式,所以您需要到下载一个ico图标工具,本站常 ...
- [Spring] IOC - study
Spring IOC简单注入例子,本例子使用JUnit进行测试.Spring版本:3.2 项目结构: Spring所需引用的JAR包: Spring XML配置: springContext.xml ...
- Servlet Filter 1
1.Filter简介 )Filter也称之为过滤器,它是Servlet技术中最实用的技术,WEB开发人员通过Filter技术,对web服务器管理的所有web资源:例如Jsp, Servlet, 静态图 ...
- 151. Reverse Words in a String
Given an input string, reverse the string word by word. For example,Given s = "the sky is blue& ...
- OpenGL 开始学习指南
近期需要做一个涌潮的预报与仿真模拟,为了使模型更具有真实感,且逼真,使用起来更灵活.感觉还是得从基础的OpenGL学习.鉴于Direct3D技术存在的众多不确定性,且评论不太好的原因,决定用OpenG ...
- 加密--win7下安装openssl
http://www.cnblogs.com/ZhouL3777/archive/2012/10/21/2732890.html http://www.cnblogs.com/ZhouL3777/ar ...
- SharedPreferences实现自动登录记住用户名密码
最近Android项目需要一个自动登录功能,完成之后,特总结一下,此功能依靠SharedPreferences进行实现. SharedPreferences简介 SharedPreferences ...
- 标准电流信号为什么是4-20MA?(网络摘录)
一来源: 4-20mA.DC(1-5V.DC)信号制是国际电工委员会(IEC):过程控制系统(是连接仪表.变送设备.控制设备.计算机采样设备)用模拟信号标准.我国从DDZ-Ⅲ型电动仪表开始采用这一国际 ...
- webview和 内置浏览器的调用
http://blog.csdn.net/hudashi/article/details/8176298/ 一.启动android默认浏览器 在Android程序中我们可以通过发送隐式Intent来启 ...
- 关于如何查看mysql版本及其端口号
关于如何查看MySQL版本: 方法一: 进入mysql cmd, status; 1 status; 将显示当前mysql的version的各种信息. 方法二: 还是在mysql的cmd下,输入: s ...