一、AppScan简介
AppScan是IBM的一款web安全扫描工具,可以利用爬虫技术进行网站安全测试,根据网站入口自动对网页链接进行安全扫描,扫描之后会提供扫描报告和修复建议等。
AppScan有自己的用例库,版本越新用例库越全(用例库越全面,对漏洞的检测较全面,被测试系统的安全性则越高)
二、Appscan使用教程
1.启动软件进入主界面—>选择创建新的扫描:
2.在弹出的新建扫描对话框中选择常规扫描:
3.在弹出的扫描配置向导对话框中选择Web应用程序扫描进入下一步:
4.在此页面中填写需要扫描系统的网址,进入下一步
5.选择登陆方式为记录,进入下一步
6.选择一种测试策略(本例以完成为例)
几种测试策略说明:
- 缺省值:包含多有测试,但不包含侵入式和端口侦听器
- 仅应用程序:包含所有应用程序级别的测试,但不包含侵入式和端口侦听器
- 仅基础结构:包含所有基础结构级别的测试,但不包含侵入式和端口侦听器
- 侵入式:包含所有侵入式测试(可能影响服务器稳定性的测试)
- 完成:包含所有的AppScan测试
- 关键的少数:包含一些成功可能性较高的测试精选,在时间有限时对站点评估可能有用
- 开发者精要:包含一些成功可能性极高的应用程序测试的精选,在时间有限时对站点评估可能有用
7.启动全面自动扫描
8.在自动保存对话框中选择是
9.将扫描文件保存在本机目录下
10.进行第一遍的探索
11.探索完成获得探索到的结果
12.在扫描配置对话框中选择测试系统需要的配置,点击应用
13.进行继续完全扫描
14.等待扫描完成(时间可能会有点长)