一、打开AppScan,选择外部设备/客户机,点击下一步

二、记录代理设置,可以手动输入需要的端口号,也可以自动选择,记住端口号以及PC电脑的ip地址,手机端如何设置对应的端口跟ip可以参考

Jmeter(十三)用Jmeter自带录制工具代理录制手机端应用脚本APP脚本,原理是一样的

三、SSL证书,点击下一步

四、登陆管理,点击下一步,

选择“是”

五、选择测试策略,点击下一步

六、完成扫描配置向导

点击完成之后,会弹出录制窗口

七、外部流量记录器

这个时候,可以操作外部机器对需要扫描的功能模块进行录制,

检测到的域:记录外部机器操作时所产生的域名及URL,可以进行筛选,如果出现多余的其他域,也可进行删除

发送的请求:记录外部机器操作时对应的功能模块的http请求,js等

脚本录制成功之后,点击停止记录,脚本即完成了。

通过将 AppScan 用作记录代理来进行手动探索时,该记录器将显示检测到的域和接收到的流量,并使您能够控制将对这些项中的哪些进行测试。该记录器的受限版本用于对登录序列进行记录。

当您单击手动探索 > 使用外部设备时,“外部流量记录器”将打开。

项目

描述

代理连接状态

显示是否正在记录入局连接,以及其他状态消息。

侦听端口

显示已分配给此记录器的当前端口。

要更改该端口,或任何其他记录代理配置,均请单击记录代理配置(有关详细信息,请参阅“记录代理”选项卡)。

已记录流量

 

检测到的域(左窗格)

在已记录流量中检测到的所有域的列表。

选择应包含在扫描中的域。 关闭此记录器时,所有已选域都会添加到“其他服务器和域”列表(配置 > URL 和服务器 > 其他服务器和域)并将包含在扫描中。

已发送的请求(右窗格)

显示“手动探索”期间已记录的所有请求。来自左窗格中已选域的请求将以黑色显示;其他请求将以灰色显示。

  • 查看来自所选域的请求,请单击隐藏来自已过滤域的请求复选框
  • 要从列表中删除与扫描不相关的单独请求,请选择相应请求,然后单击 “一”减号图标

导出

单击可导出记录以在另一台机器上使用。仅在记录已停止后,该按钮才会被激活。

应用“探索”阶段冗余调整

(缺省情况下已选中)选中后,“探索”阶段冗余调整(配置 >“参数和 Cookie”选项卡 > 冗余调整缺省值 > 探索)将在您关闭对话框时应用于当前记录,以帮助避免重复的请求。

请仅在选中该复选框会导致“手动探索”中的 cookie 缺失的情况下清空该复选框。

停止记录

停止记录,同时保留对话框处于打开状态,以查看和编辑列表。

注: 一旦您停止记录,便无法在不丢弃当前数据的情况下重新启动记录。

确定

关闭对话框,并将所有当前已选域添加到扫描中包含的其他服务器和域的列表(配置 > URL 和服务器 > 其他服务器和域)。

八、录制好需要的场景或者对应的脚本之后,点击完成,后续就可以进行对应的扫描工作了

IBM Security AppScan Standard 用外部设备录制脚本(手机端应用、app、微信等)进行安全测试的更多相关文章

  1. IBM Security AppScan Standard WEB扫描工具

    IBM Security AppScan Standard是一款著名的web漏洞扫描工具, 可以设定登录账户,录制登录 扫描完成后可以生成报告,生成的报告非常详细

  2. IBM Security AppScan Standard使用方法

    一.常规配置Appscan (安全自动化测试工具) Appscan是web应用程序渗透测试舞台上使用最广泛的工具之一.它是一个桌面应用程序,它有助于专业安全人员进行Web应用程序自动化脆弱性评估.本文 ...

  3. IBM Security AppScan Glass Box:一种全新的漏洞扫描思想

    IBM Security AppScan Glass Box:一种全新的漏洞扫描思想 Glass Box 是 IBM Security AppScan Standard Edition(以下简称 Ap ...

  4. Jmeter学习—004—使用代理录制脚本—HTTP代理服务器(APP、web皆可)

    版权声明:本文为博主原创文章,未经博主允许不得转载. https://blog.csdn.net/mmmmmmm_2niu/article/details/78136253记得我最开始使用jmeter ...

  5. AppScan--图解Web扫描工具IBM Security App Scan Standard

    App Scan用法:   首先打开IBM Security AppScan Standard 工具   点击 创建新的扫描 ->  点击”常规扫描“ ->之后你就会看到如下图:     ...

  6. IBM Security App Scan 资料整理

    转自:http://blog.csdn.net/u013147600/article/details/50002089 这是学习和使用IBM AppScan过程中总结整理的一些资料.   扫描系统操作 ...

  7. 深入探析 Rational AppScan Standard Edition 多步骤操作

    序言 IBM Rational AppScan Standard(下文简称 AppScan)作为面向 Web 应用安全黑盒检测的自动化工具,得到业界的广泛认可和应用.很多人使用 AppScan 时都采 ...

  8. 深入探析 Rational AppScan Standard Edition 新特性之 Glass Box 扫描

    众所周知,Web 应用安全测试通常有黑盒安全测试和白盒安全测试两种方法.这两种方法孰优孰劣一直众议纷纷.广为公认的是,这两种测试方法有着良好地互补性,两种测试方法的结合是未来安全测试技术的发展趋势.G ...

  9. Jmeter入门 浏览器设置代理服务器和录制脚本

    第一步: 可以设置浏览器代理,本文章推荐使用火狐浏览器 在浏览器-首选项--网络设置里面设置代理服务器 注意:端口号可以自行设置,但是不可以与本机其他代理产生冲突 第二步: 打开jmeter工具,添加 ...

随机推荐

  1. C语言中,隐藏结构体的细节

    我们都知道,在C语言中,结构体中的字段都是可以访问的.或者说,在C++ 中,类和结构体的主要区别就是类中成员变量默认为private,而结构体中默认为public.结构体的这一个特性,导致结构体中封装 ...

  2. 百度前端技术学院—-小薇学院(HTML+CSS课程任务)

    任务一:零基础HTML编码 课程概述 作业提交截止时间:04-24 重要说明 百度前端技术学院的课程任务是由百度前端工程师专为对前端不同掌握程度的同学设计.我们尽力保证课程内容的质量以及学习难度的合理 ...

  3. 关于Laravel中的artisan命令

    p.p1 { margin: 0.0px 0.0px 0.0px 0.0px; font: 14.0px Helvetica; color: #454545 } p.p2 { margin: 0.0p ...

  4. Redis 小白指南(二)- 基础命令和五大类型:字符串、散列、列表、集合和有序集合

    Redis 小白指南(二)- 基础命令和五大类型:字符串.散列.列表.集合和有序集合 引言 目录 基础命令 字符串类型 散列类型 列表类型 集合类型 有序集合类型 基础命令 1.获得符合规则的键名列表 ...

  5. RabbitMQ 应用学习随笔

    1.安装 Rabbit MQ 是建立在强大的Erlang OTP平台上,因此安装RabbitMQ之前要先安装Erlang. erlang:http://www.erlang.org/download. ...

  6. 使用VideoView开发视频总结

    一.VideoView及其相关组件总结 在Android中,播放视频有2种方式,第一种方式是使用MediaPlayer结合SurfaceView来播放,通过MediaPlayer来控制视频的播放.暂停 ...

  7. 小K的H5之旅-CSS基础(一)

    一.什么是CSS W3C标准中,倡导有3:其一为内容与表现分离,其二为内容与行为分离,其三为内容结构的语义化.其倡导中第一条的"表现"指的便可以说是CSS.CSS全称Cascadi ...

  8. 打印杨辉三角--for循环

    要求打印7行直角杨辉三角 杨辉三角特点: 第1行和第2行数字都为1: 从第三行开始,除去开头和结尾数字为1,中间数字为上一行斜对角两个数字的和. 如下图: 打印结果: 代码如下: package 杨辉 ...

  9. java中static关键字的作用

    java中static关键字主要有两种作用: 第一:为某特定数据类型或对象分配单一的存储空间,而与创建对象的个数无关. 第二,实现某个方法或属性与类而不是对象关联在一起 简单来说,在Java语言中,s ...

  10. sublime text 快捷收集

    1. 文件快速导航: 这是sublime上面很好用的功能之一,ctrl+p可以调出窗口,菜单上的解释是gotoanythings ,确实如其所言,调出窗口后,直接输入关键字,可以在已打开的项目文件夹中 ...