1、AppScan是什么？

AppScan是IBM的一款web安全掃描工具，可以利用爬蟲(chóng)技術(shù)進(jìn)行網(wǎng)站安全滲透測(cè)試，根據(jù)網(wǎng)站入口自動(dòng)對(duì)網(wǎng)頁(yè)鏈接進(jìn)行安全掃描，掃描之后會(huì)提供掃描報(bào)告和修復(fù)建議等。

AppScan有自己的用例庫(kù)，版本越新用例庫(kù)越全（用例庫(kù)越全面，對(duì)漏洞的檢測(cè)較全面，被測(cè)試系統(tǒng)的安全性則越高）

工作原理：

1）通過(guò)探索了解整個(gè)web頁(yè)面結(jié)果

2）通過(guò)分析，使用掃描規(guī)則庫(kù)對(duì)修改的HTTP Request進(jìn)行攻擊嘗試

3）分析 Response 來(lái)驗(yàn)證是否存在安全漏洞

2、AppScan破解并添加許可證

（1）安裝文件下載解壓后顯示AppScanStandard.txt和rcl_rational.dll文件

（2）把文件(AppScanStandard.txt和rcl_rational.dll)復(fù)制到AppScan安裝地址的文件夾下

（3）添加許可證書(shū)：

• 打開(kāi)AppScan，點(diǎn)擊幫助-許可證；
• 選擇“打開(kāi)Appscan License Manager...”；
• 點(diǎn)擊“許可證配置-節(jié)點(diǎn)鎖定許可證文件-+”，選擇AppScanStandard.txt作為許可證；
• 保存，即可完成激活授權(quán)。

3、AppScan的使用步驟

（1）啟動(dòng)AppScan掃描工具，點(diǎn)擊文件-新建；

（2）測(cè)試網(wǎng)站信息，選擇“掃描Web應(yīng)用程序”，在文本框中輸入應(yīng)用程序的 URL，如果成功，那么在“起始 URL”下將顯示綠色復(fù)選標(biāo)記和“已連接到服務(wù)器”確認(rèn)。

（3）單擊下一步。進(jìn)入“登錄管理”步驟。

• 記錄：如果選擇該選項(xiàng)，那么 AppScan? 將使用所記錄的登錄過(guò)程，從而像實(shí)際用戶(hù)一樣填寫(xiě)字段并單擊鏈接。
• 自動(dòng)：如果 AppScan 可僅使用名稱(chēng)和密碼來(lái)登錄，而不需要特定的過(guò)程，請(qǐng)選擇該選項(xiàng)，然后輸入“用戶(hù)名”和“密碼”。如果每次登錄都需要人機(jī)交互（如雙因素認(rèn)證、一次性密碼或 CAPTCHA），請(qǐng)選擇“提示”選項(xiàng)。
• 提示：在這種情況下，您必須仍然記錄登錄過(guò)程。雖然 AppScan 將不會(huì)使用您記錄的過(guò)程來(lái)嘗試登錄，但是它需要將該過(guò)程作為參考來(lái)了解何時(shí)已被注銷(xiāo)。
• 無(wú)：僅當(dāng)應(yīng)用程序不需要登錄時(shí)，或因?yàn)槠渌?#xff0c;您不想 AppScan 登錄時(shí)，才選擇該選項(xiàng)

（4）單擊下一步，進(jìn)入“測(cè)試策略”步驟；掃描限制為所需的特定類(lèi)型的測(cè)試可以縮短掃描時(shí)間。

掃描期間，AppScan? 發(fā)送的測(cè)試數(shù)量可以達(dá)到數(shù)千。有時(shí)，最好將掃描限制在僅掃描特定類(lèi)型，以減少掃描時(shí)間。這是“測(cè)試策略”。

過(guò)程：

檢查“測(cè)試策略”是否適合您的需要。（如果您不能肯定，請(qǐng)保持“缺省測(cè)試策略”。）

要裝入其他“測(cè)試策略”，請(qǐng)單擊策略文件窗格中其中一個(gè)“預(yù)定義策略”或“最新策略”。

將測(cè)試發(fā)送到登錄和注銷(xiāo)頁(yè)面：缺省情況下，AppScan?將測(cè)試登錄和注銷(xiāo)頁(yè)面以及應(yīng)用程序的其余部分。您應(yīng)該保持該缺省配置，除非：

• • 您的應(yīng)用程序具有安全保護(hù)，可阻止在這些頁(yè)面上提供非法輸入的用戶(hù)，或
  • 如果測(cè)試這些頁(yè)面，您的應(yīng)用程序流程會(huì)改變

如果不確定您的應(yīng)用程序會(huì)如何響應(yīng)這些測(cè)試，那么請(qǐng)保持選定該選項(xiàng)。

（5）單擊下一步，進(jìn)入“測(cè)試優(yōu)化”步驟；通過(guò)“測(cè)試優(yōu)化”，可以利用正在進(jìn)行的統(tǒng)計(jì)分析來(lái)加快掃描速度。

?

?

（6）單擊下一步，進(jìn)入“完成”步驟；將決定如何以及何時(shí)啟動(dòng)已配置的掃描。

（7）單擊完成；將決定如何以及何時(shí)啟動(dòng)已配置的掃描；

完成中的選項(xiàng)分析：

• 啟動(dòng)全面自動(dòng)掃描：啟動(dòng)應(yīng)用程序的全面掃描（“探索”后將立即進(jìn)行“測(cè)試”）。
• 使用僅自動(dòng)“探索”來(lái)啟動(dòng)：探索應(yīng)用程序，但不繼續(xù)“測(cè)試”階段。（可以稍后運(yùn)行“測(cè)試”階段）。
• 使用手動(dòng)探索來(lái)啟動(dòng)：瀏覽器將打開(kāi)，并且您可以通過(guò)單擊鏈接并填寫(xiě)字段來(lái)手動(dòng)探索站點(diǎn)。AppScan?將記錄結(jié)果，以便在“測(cè)試”階段使用。
• 我將稍后啟動(dòng)掃描：關(guān)閉向?qū)?#xff0c;不啟動(dòng)掃描。下次啟動(dòng)掃描時(shí)，會(huì)使用該模板。

總結(jié)

以上是生活随笔為你收集整理的初识AppScan的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。