1、AppScan是什么？

AppScan是IBM的一款web安全掃描工具，可以利用爬蟲技術進行網(wǎng)站安全滲透測試，根據(jù)網(wǎng)站入口自動對網(wǎng)頁鏈接進行安全掃描，掃描之后會提供掃描報告和修復建議等。

AppScan有自己的用例庫，版本越新用例庫越全（用例庫越全面，對漏洞的檢測較全面，被測試系統(tǒng)的安全性則越高）

工作原理：

1）通過探索了解整個web頁面結果

2）通過分析，使用掃描規(guī)則庫對修改的HTTP Request進行攻擊嘗試

3）分析 Response 來驗證是否存在安全漏洞

2、AppScan破解并添加許可證

（1）安裝文件下載解壓后顯示AppScanStandard.txt和rcl_rational.dll文件

（2）把文件(AppScanStandard.txt和rcl_rational.dll)復制到AppScan安裝地址的文件夾下

（3）添加許可證書：

• 打開AppScan，點擊幫助-許可證；
• 選擇“打開Appscan License Manager...”；
• 點擊“許可證配置-節(jié)點鎖定許可證文件-+”，選擇AppScanStandard.txt作為許可證；
• 保存，即可完成激活授權。

3、AppScan的使用步驟

（1）啟動AppScan掃描工具，點擊文件-新建；

（2）測試網(wǎng)站信息，選擇“掃描Web應用程序”，在文本框中輸入應用程序的 URL，如果成功，那么在“起始 URL”下將顯示綠色復選標記和“已連接到服務器”確認。

（3）單擊下一步。進入“登錄管理”步驟。

• 記錄：如果選擇該選項，那么 AppScan? 將使用所記錄的登錄過程，從而像實際用戶一樣填寫字段并單擊鏈接。
• 自動：如果 AppScan 可僅使用名稱和密碼來登錄，而不需要特定的過程，請選擇該選項，然后輸入“用戶名”和“密碼”。如果每次登錄都需要人機交互（如雙因素認證、一次性密碼或 CAPTCHA），請選擇“提示”選項。
• 提示：在這種情況下，您必須仍然記錄登錄過程。雖然 AppScan 將不會使用您記錄的過程來嘗試登錄，但是它需要將該過程作為參考來了解何時已被注銷。
• 無：僅當應用程序不需要登錄時，或因為其他原因，您不想 AppScan 登錄時，才選擇該選項

（4）單擊下一步，進入“測試策略”步驟；掃描限制為所需的特定類型的測試可以縮短掃描時間。

掃描期間，AppScan? 發(fā)送的測試數(shù)量可以達到數(shù)千。有時，最好將掃描限制在僅掃描特定類型，以減少掃描時間。這是“測試策略”。

過程：

檢查“測試策略”是否適合您的需要。（如果您不能肯定，請保持“缺省測試策略”。）

要裝入其他“測試策略”，請單擊策略文件窗格中其中一個“預定義策略”或“最新策略”。

將測試發(fā)送到登錄和注銷頁面：缺省情況下，AppScan?將測試登錄和注銷頁面以及應用程序的其余部分。您應該保持該缺省配置，除非：

• • 您的應用程序具有安全保護，可阻止在這些頁面上提供非法輸入的用戶，或
  • 如果測試這些頁面，您的應用程序流程會改變

如果不確定您的應用程序會如何響應這些測試，那么請保持選定該選項。

（5）單擊下一步，進入“測試優(yōu)化”步驟；通過“測試優(yōu)化”，可以利用正在進行的統(tǒng)計分析來加快掃描速度。

?

?

（6）單擊下一步，進入“完成”步驟；將決定如何以及何時啟動已配置的掃描。

（7）單擊完成；將決定如何以及何時啟動已配置的掃描；

完成中的選項分析：

• 啟動全面自動掃描：啟動應用程序的全面掃描（“探索”后將立即進行“測試”）。
• 使用僅自動“探索”來啟動：探索應用程序，但不繼續(xù)“測試”階段。（可以稍后運行“測試”階段）。
• 使用手動探索來啟動：瀏覽器將打開，并且您可以通過單擊鏈接并填寫字段來手動探索站點。AppScan?將記錄結果，以便在“測試”階段使用。
• 我將稍后啟動掃描：關閉向導，不啟動掃描。下次啟動掃描時，會使用該模板。

總結

以上是生活随笔為你收集整理的初识AppScan的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內容還不錯，歡迎將生活随笔推薦給好友。