目录
1.AppScan是什么?
AppScan是IBM的一款web安全扫描工具,可以利用爬虫技术进行网站安全渗透测试,根据网站入口自动对网页链接进行安全扫描,扫描之后会提供扫描报告和修复建议等。
AppScan有自己的用例库,版本越新用例库越全(用例库越全面,对漏洞的检测较全面,被测试系统的安全性则越高)
2.工作原理
- 通过探索了解整个web页面结果
- 通过分析,使用扫描规则库对修改的HTTP Request进行攻击尝试
- 分析 Response 来验证是否存在安全漏洞
3.AppScan下载安装
链接:https://pan.baidu.com/s/1X6teunvu-vpk1nucZ6y_1w
提取码:ivoh
4.使用步骤
- 启动软件进入主界面->选择创建新的扫描:
创建扫描 - 在弹出的新建扫描对话框中选择常规扫描
常规扫描 - 在弹出的扫描配置向导对话框中选择AppScan(自动或手动),点击下一步
选择探索站点方式 - 在此页面中填写需要扫描系统的地址,点击下一步
填写检测网址 - 选择登录方式为记录,点击下一步
登录方式记录 - 选择一种测试策略(本例以完成为例)
- 测试策略说明
- ①缺省值:包含多有测试,但不包含侵入式和端口侦听器
- ②仅应用程序:包含所有应用程序级别的测试,但不包含侵入式和端口侦听器
- ③仅基础结构:包含所有基础结构级别的测试,但不包含侵入式和端口侦听器
- ④侵入式:包含所有侵入式测试(可能影响服务器稳定性测试)
- ⑤完成:包含所有的AppScan测试
- ⑥关键的少数:包含一些成功可能性较高的测试精选,在时间有限时对站点评估可能有用
- ⑦开发者精要:包含一些成功可能性极高的应用程序测试的精选,在时间有限时对站点评估可能有用
选择“完成”策略
- 启动全面自动扫描
启动全面自动扫描 - 在自动保存对话框中选择是
自动保存对话框 - 将扫描文件保存在本机目录下
- 进行第一遍的探索
第一遍的探索 - 探索完成获得探索到的结果
探索到的结果 - 在扫描菜单栏中选择扫描配置,弹出扫描配置对话框,在环境定义中选择测试系统需要的配置,点击应用
环境配置 - 进行继续完全扫描
继续完全扫描 - 等待扫描完成
最终扫描结果 - 重新测试
- 生成报告