一、操作前提

1.首先下载Appscan的安装包

2.安装Appscan

二、操作流程

1.双击图标,打开Appscan软件

2.打开软件后,页面显示如下:

3.选择“文件-新建”,弹出如下的窗口:

4.点击“常规扫描”,页面如下:

5.选择“Appscan(自动或手动)”,点击下一步,如图:

6.在“起始URL”处输入将要扫描的系统的URL,点击下一步,如图:

7.选择“自动”,输入用户名和密码,如图:

8.点击下一步,如图:

9.默认,点击下一步,如图:

  注:一般常用的是“启动全面自动扫描”和“使用“手动探索”启动”,二者区别如下:

  1)启动全面自动扫描:工具自动对系统进行扫描,扫描完毕后会显示扫描结果。不过使用此种方式扫描不全,类似插件的模块扫描不到。

  2)使用“手动探索”启动:测试人员可以自由灵活的对所有模块进行扫描操作,扫描结果更加细致。下面以手动探索为例。

10.选择 “使用“手动探索”启动  ,点击完成。通过浏览器打开扫描的页面,如下:

11.进行测试操作,录制脚本,脚本录制完毕后,关闭浏览器。Appscan页面显示录制的脚本信息,如下图:

12.点击“导出”按钮,保存录制的脚本,关闭窗口。点击“文件-导入-探索数据”,选择刚才录制的脚本。

13.脚本添加完毕,如下图:

14.点击“扫描-继续仅探索”

15.弹出如下窗口:

16.选择“是”,保存扫描结果后,开始进行扫描操作。

17.扫描停止后,点击“扫描-仅测试”,如下图:

18.开始进行安全测试,捕获漏洞,如下图:

  注:下方显示扫描进度。

19.扫描完毕后,扫描界面显示如下图:

  注:

  1)界面中间显示存在的漏洞类型,展开可查看漏洞的URL;

  2)右侧显示具体的漏洞信息,可查看详情

20.点击界面的“报告”按钮,如下图所示:

21.勾选“在每个问题之后加入分页(PDF)”,勾选左侧的全部信息(为使报告更加详细),如下图:

22.点击“保存报告”,可将报告保存到本地电脑。

IBM Appscan基本操作手册的更多相关文章

  1. AppScan操作手册

    AppScan操作手册 转自:http://blog.51cto.com/zhouanya/1388681   1.SQL注入 1.1.什么是sql注入 所谓SQL注入(SQL Injection), ...

  2. IBM appscan 9.0破解版分享

    简介:IBM AppScan该产品是一个领先的 Web 应用安全测试工具,曾以 Watchfire AppScan 的名称享誉业界.Rational AppScan 可自动化 Web 应用的安全漏洞评 ...

  3. 启用了不安全的HTTP方法解决办法 IBM APPSCAN

    启用了不安全的HTTP方法解决办法  IBM APPSCAN     安全风险:       可能会在Web 服务器上上载.修改或删除Web 页面.脚本和文件. 可能原因:       Web 服务器 ...

  4. IBM AppScan 安全扫描:支持弱 SSL 密码套件 分类: 数据安全 2014-06-28 11:34 1844人阅读 评论(0) 收藏

    问题描述: ​ 解决方法: 1.Server 2008(R2) 根据appScan的修订建议访问地址:http://msdn.microsoft.com/en-us/library/windows/d ...

  5. Windows Azure 基本操作手册

    http://www.cnblogs.com/sennly/p/4139663.html 基本测试信息 登陆地址:https://manage.windowsazure.cn(Azure管理门户,适用 ...

  6. IBM AppScan 安全扫描:加密会话(SSL)Cookie 中缺少 Secure 属性 处理办法 分类: 数据安全 2014-06-28 11:35 2805人阅读 评论(0) 收藏

    问题描述: 原因分析: 服务器开启了Https时,cookie的Secure属性应设为true:   解决办法: 1.服务器配置Https SSL方式,参考:https://support.micro ...

  7. (转)IBM AppScan 安全漏洞问题修复(.net)

    原文:https://www.cnblogs.com/anngeiBKY/p/4952269.html 按问题类型分类的问题 使用 SQL 注入的认证旁路2 已解密的登录请求3 登录错误消息凭证枚举1 ...

  8. PLSQL基本操作手册

    第1章  用PLSQL连接Oracle数据库 PLSQL只能用来连接Oracle数据库(不象PB还可以连接JDBC.ODBC),所以必须首先安装并配置Oracle客户端. §1.1 初次登录PLSQL ...

  9. IBM AppScan 安全漏洞问题修复(.net)

    按问题类型分类的问题 使用 SQL 注入的认证旁路2 已解密的登录请求3 登录错误消息凭证枚举1 会话标识未更新2 跨站点请求伪造1 Missing "Content-Security-Po ...

随机推荐

  1. 在网页标题栏上和收藏夹显示网站logo

    第一步,准备一个图标制作软件. 首先您必须了解所谓的图标(Icon)是一种特殊的图形文件格式,它是以.ico 作为扩展名.普通的图像设计软件无法使用这种格式,所以您需要到下载一个ico图标工具,本站常 ...

  2. [Spring] IOC - study

    Spring IOC简单注入例子,本例子使用JUnit进行测试.Spring版本:3.2 项目结构: Spring所需引用的JAR包: Spring XML配置: springContext.xml ...

  3. Servlet Filter 1

    1.Filter简介 )Filter也称之为过滤器,它是Servlet技术中最实用的技术,WEB开发人员通过Filter技术,对web服务器管理的所有web资源:例如Jsp, Servlet, 静态图 ...

  4. 151. Reverse Words in a String

    Given an input string, reverse the string word by word. For example,Given s = "the sky is blue& ...

  5. OpenGL 开始学习指南

    近期需要做一个涌潮的预报与仿真模拟,为了使模型更具有真实感,且逼真,使用起来更灵活.感觉还是得从基础的OpenGL学习.鉴于Direct3D技术存在的众多不确定性,且评论不太好的原因,决定用OpenG ...

  6. 加密--win7下安装openssl

    http://www.cnblogs.com/ZhouL3777/archive/2012/10/21/2732890.html http://www.cnblogs.com/ZhouL3777/ar ...

  7. SharedPreferences实现自动登录记住用户名密码

    最近Android项目需要一个自动登录功能,完成之后,特总结一下,此功能依靠SharedPreferences进行实现.   SharedPreferences简介 SharedPreferences ...

  8. 标准电流信号为什么是4-20MA?(网络摘录)

    一来源: 4-20mA.DC(1-5V.DC)信号制是国际电工委员会(IEC):过程控制系统(是连接仪表.变送设备.控制设备.计算机采样设备)用模拟信号标准.我国从DDZ-Ⅲ型电动仪表开始采用这一国际 ...

  9. webview和 内置浏览器的调用

    http://blog.csdn.net/hudashi/article/details/8176298/ 一.启动android默认浏览器 在Android程序中我们可以通过发送隐式Intent来启 ...

  10. 关于如何查看mysql版本及其端口号

    关于如何查看MySQL版本: 方法一: 进入mysql cmd, status; 1 status; 将显示当前mysql的version的各种信息. 方法二: 还是在mysql的cmd下,输入: s ...