AppScan的基础使用
2024-09-03 20:04:27
AppScan是用于Web项目的安全测试工具,扫描网站所有url,自动测试是否存在各种类型的漏洞。AppScan安装在Windows环境上,版本越高,规则库越安全,扫描越全面。
1. 打开AppScan,在欢迎界面点击‘创建新的扫描’;
2. 点击‘常规扫描’,弹出扫描配置向导面板;
3. 在配置向导面板,选择AppScan(自动或手动),然后下一步;
(外部设备/客户机(AppScan作为记录代理)用于APP端扫描)
4. 在配置向导的URL框中填入需要扫描系统的网址,然后下一步;
5. 配置向导的登录方法页面,这里选择合适的登录方法便于后续扫描的开展,最常用的是记录和自动,这里选择‘记录’,然后下一步,在弹出窗选择‘是’;
或者,点击记录下的‘使用AppScan浏览器(建议)’在渲染网站后点击我已登录到站点;
6. 选择一种测试策略,常用的是缺省值和完成,这里使用‘完成’,然后下一步;
测试策略说明:
- 缺省值:包含多种测试,但不包含侵入式和端口侦听器;
- 仅应用程序:包含所有应用程序级别的测试,但不包含侵入式和端口侦听器;
- 仅基础结构:包含所有基础结构级别的测试,但不包含侵入式和端口侦听器;
- 仅第三方:该策略包含所有第三方级别测试,但侵入式和端口侦听器测试除外;
- 侵入式:包含所有侵入式测试(可能影响服务器稳定性的测试);
- 完成:包含所有的AppScan测试,但端口侦听器测试除外;
- Web Services:该策略包含所有SOAP相关的非侵入式测试;
- 关键的少数:包含一些成功可能性较高的测试精选,在时间有限时对站点评估可能有用;
- 开发者精要:包含一些成功可能性极高的应用程序测试的精选,在时间有限时对站点评估可能有用;
- 生产站点:此策略“排除”可能损坏站点的侵入式测试,或测试可能导致“拒绝服务” 的其他用户;
7. 在完成扫描配置向面板,这里举例选择启动全面自动扫描,然后点击完成;
- 启动全面扫描:会自动探索URL,而且边探索变扫描页面;
- 仅使用自动“探索”启动:自动探索URL,不做扫描;
- 使用“手动探索”启动:手动去访问URL,AppScan会自动记录你访问页面的URL;
- 我将稍后启动扫描:AppScan不做任何操作,需要自己手动去启动扫描;
8. 在自动保存面板选择“是”;
9. 将扫描文件保存在本机目录下,然后自动开始第一遍探索;
10. 探索完成获得探索到的结果;
11. 尽量完成扫描专家建议;
12. 手动配置环境:提高性能和准确性;
13. 进行继续完全扫描;
14. 测试结束后;
15. 生成测试报告;
最新文章
- 使用Flask设计带认证token的RESTful API接口[翻译]
- 第一个随笔,调试中,用的CSS3
- windows下打开VMware虚拟机时提示内存不足的处理方法
- 洛谷 P1433 吃奶酪 Label:dfs &;&; 剪枝Ex
- 使用Ef时,对一个或多个实体的验证失败。有关详细信息,请参见“EntityValidationErrors”属性。
- 【BZOJ】【1069】【SCOI2007】最大土地面积
- 北大ACM(POJ1009-Edge Detection)
- ubuntu samba共享安装 配置
- [转] PostgreSQL的时间/日期函数使用
- 图文讲解基于centos虚拟机的Hadoop集群安装,并且使用Mahout实现贝叶斯分类实例 (7)
- 使用python网络库下载
- 三层——c#版
- tkinter第四章 输入框,校对
- JS中date日期初始化的5种方法
- 毕设记录(ajax第一次请求失败,之后成功的问题)
- 第一周pta作业2
- 精确度量Linux下进程占用多少内存的方法
- Jetson tk1 安装 usbtoserials 驱动(重新刷机)
- transport error 202: bind failed: 地址已在使用
- TreeSet函数
热门文章
- 服务启动脚本start_boot.sh
- js拼接HTML onclick传参,,页面转义符
- layer.confirm等事件X关闭与取消监听
- [转]spring入门(六)【springMVC中各数据源配置】
- Erlang学习记录:输入和输出
- Remember, every day is a miracle.
- CF Round #427 (Div. 2) C. Star sky [dp]
- hibernate_02_hibernate的入门
- VS2010-MFC(菜单:菜单及CMenu类的使用)
- Big Number HDU - 1212