目录

一.介绍

二.3个核心要素

三.下载与安装

3.1下载

3.2安装

四.Web端简单用法

五.扫描设置

5.1登录管理

5.2环境定义

5.3排除路径和文件

5.4探索选项

5.5通信和代理

5.6测试策略与测试选项

六.生成报告

6.1查看结果

6.2 生成pdf报告

七.其它

7.1正则表达式示例

七.APP简单用法

7.1选择外部设备

7.2电脑开启wifi

7.3记录代理

7.4手机下载SSL证书(为了访问https开头的域名)

一.介绍

AppScan,即 AppScan standard edition。其安装在 Windows 操作系统上,可以对网站等 Web 应用进行自动化的应用安全扫描和测试。

Rational AppScan(简称 AppScan)其实是一个产品家族,包括众多的应用安全扫描产品,从开发阶段的源代码扫描的 AppScan source edition,到针对 Web 应用进行快速扫描的 AppScan standard edition,以及进行安全管理和汇总整合的 AppScan enterprise Edition 等。我们经常说的 AppScan 就是指的桌面版本的 AppScan,即 AppScan standard edition。其安装在 Windows 操作系统上,可以对网站等 Web 应用进行自动化的应用安全扫描和测试。

二.3个核心要素

  • 通过搜索(爬行)发现整个 Web 应用结构
  • 根据分析,发送修改的 HTTP Request 进行攻击尝试(扫描规则库)
  • 通过对于 Respone 的分析验证是否存在安全漏

AppScan 的核心是提供一个扫描规则库,然后利用自动化的“探索”技术得到众多的页面和页面参数,进而对这些页面和页面参数进行安全性测试。“扫描规则库”,“探索”,“测试”就构成了 AppScan 的核心三要素。而在安全扫描过程中,如何进行优化,就要结合这三个要素,看哪些部分需要优化,应该如何优化。

三.下载与安装

3.1下载

IBM Appscan9.0.3下载地址:http://pan.baidu.com/s/1slmcHzR 密码: xtyf

3.2安装

1.直接点击AppScan_Std_9.0.3.5_Eval_Win.exe安装

2.安装成功之后把LicenseProvider.dll拷贝到AppScan安装目录。覆盖原来的LicenseProvider.dll

3.比如我的目录是C:\Program Files (x86)\IBM\AppScan Standard

四.Web端简单用法

1.双击IBM Security AppScan Standard后弹出窗口:

2.点击 创建新的扫描 ->  点击”常规扫描“,会看到如下图:

3.点击完全扫描配置,可以在此进行配置,也可以点击下一步,根据向导进行配置,我们点击下一步:

4.点击下一步,进入登录管理配置,因为有些页面需要登录后 才能做有效的扫描,这里记录的是登录所需信息,便于扫描时能登录应用程序。总共有4种方法,比较常用的是“记录”和“自动”。

记录: 点击“记录”按钮,进行录制登录操作。操作类似于用LR做脚本录制。

自动:输入用户名和密码,扫描时会自动根据这个凭证登录应用程序。

5.选择一种测试策略(本例以完成为例):测试策略说明:

  • 缺省值:包含多种测试,但不包含侵入式和端口侦听器
  • 仅应用程序:包含所有应用程序级别的测试,但不包含侵入式和端口侦听器
  • 基础结构:包含所有基础结构级别的测试,但不包含侵入式和端口侦听器
  • 侵入式:包含所有侵入式测试(可能影响服务器稳定性的测试)
  • 完成:包含所有的AppScan测试
  • 关键的少数:包含一些成功可能性较高的测试精选,在时间有限时对站点评估可能有用
  • 开发者精要:包含一些成功可能性极高的应用程序测试的精选,在时间有限时对站点评估可能有用

6.AppScan 的扫描分三类:完全扫描、仅探索、仅测试

  • 如果系统需要扫描的页面或是元素较少可以直接选中完全扫描(其实就是探索和测试一条龙服务)
  • 如果页面需要扫描的页面和元素比较多时,可以分开来,先探索,探索完成后再进行测试。
  • 探索也就是扫描出整个系统的基本结构和页面。
  • 测试就是根据你所配置的信息如测试策略、深度等等对页面中的元素进行测试,从而得出安全性问题
  • 如果只是对系统中某个模板进行扫描的话,可以通过“手动探索”获取需要扫描的指定页面

7.扫描:点击 完成 后 如果勾选了 扫描专家 ,会先启动 扫描专家 进行扫描优化(我比较烦这个,所以不勾选),就直接进入扫描了。

五.扫描设置

5.1登录管理

5.2环境定义

可以不进行更改,直接默认就好:

5.3排除路径和文件

有需要的排除的路径和文件可以在这里添加。对于那些无关紧要的网址可以在这边排除掉。

5.4探索选项

5.5通信和代理

5.6测试策略与测试选项

在测试策略中,有多种不同的分组模式,最经常使用的是“严重性”,“类型”,“侵入式”、“WASC 威胁分类”等标准,根据不同分组选择的扫描策略,最后组成一个共同的策略集合。

六.生成报告

6.1查看结果

点击右上角的问题,查看检测出的问题、严重性以及产生的原因:

6.2 生成pdf报告

点击报告,勾选要导出的字段,筛选信息,生成报告,会生成pdf文件:

七.其它

7.1正则表达式示例

  • http://xx.xx.com.cn/forum-15580.html                                 正则表达式:.*forum-\d+.html
  • http://xx.xx.com.cn/bbs6/forum-16071-2.html                     正则表达式:.*forum-\d+-+\d+.html
  • http://xx.xx.com.cn/bbs6/pick_101-16260.html                   正则表达式:.*pick_\d+-+\d+.html
  • http://xx.xx.com.cn/bbs6/type_g539fg521b-16071.html      正则表达式:type[_a-z0-9]+-+\d+.html
  • http://xx.xx.com.cn/bbs6/forum-16260_postat.html             正则表达式:forum-\d+_+postat+.html
  • http://xx.xx.com.cn/bbs6/forum-16071-10_replyat.html       正则表达式:forum-\d+-+\d+_+replyat+.html
  • http://xx.xx.com.cn/bbs6/time_0-16071-4.html                    正则表达式:.*time_\d+-+\d+-+\d+.html
  • http://xx.xx.com.cn:8002/price/q-p1.html                             正则表达式:q+-+[a-z]\d+.html

七.APP简单用法

7.1选择外部设备

7.2电脑开启wifi

电脑开启wifi,然后手机连上此wifi

7.3记录代理

设置好后,电脑会收到手机的传入连接

在选项中的记录代理中生成一条白名单

7.4手机下载SSL证书(为了访问https开头的域名)

手机打开浏览器,输入http://appscan,下载证书

Appscan安全扫描工具入门使用说明相关推荐

  1. AppScan安全扫描工具-IBM Security App Scan Standard

    1.AppScan是什么? AppScan是IBM的一款web安全扫描工具,可以利用爬虫技术进行网站安全渗透测试,根据网站入口自动对网页链接进行安全扫描,扫描之后会提供扫描报告和修复建议等. AppS ...

  2. AppScan--图解web扫描工具IBM Security AppScan Standard

    原文:http://blog.csdn.net/u013147600/article/details/50001825: 公司要扫描个Web系统漏洞,所以就简单的学习了下. App Scan用法: 首 ...

  3. AppScan系列——web安全测试---AppScan扫描工具

    转自:http://www.cnblogs.com/fnng/archive/2012/05/27/2520594.html [注,我共享一个appscan9.0的百度网盘下载链接:http://pa ...

  4. AppScan 是一款web安全扫描工具

    AppScan介绍: AppScan是IBM的一款web安全扫描工具,主要适用于Windows系统.该软件内置强大的扫描引擎,可以测试和评估Web服务和应用程序的风险检查,根据网站入口自动对网页链接进 ...

  5. 常见漏洞扫描工具AWVS、AppScan、Nessus的使用

    HVV笔记--常见漏洞扫描工具AWVS.AppScan.Nessus的使用 1 AWVS 1.1 安装部署 1.2 激活 1.3 登录 1.4 扫描web应用程序 1.4.1 需要账户密码登录的扫描 ...

  6. 360在线网站安全检测,web安全测试AppScan扫描工具,XSS常用的攻击手法

    360在线网站安全检测,web安全测试AppScan扫描工具,XSS常用的攻击手法 如何做好网站的安全性测试 360网站安全检测 - 在线安全检测,网站漏洞修复,网站后门检测 http://websc ...

  7. Web 漏洞扫描工具 AppScan 和 AWVS 使用方式

    Web 漏洞扫描工具 AppScan 和 AWVS 使用方式 文章目录 Web 漏洞扫描工具 AppScan 和 AWVS 使用方式 0x01 AppScan 基本操作 1.AppScan 简介 1. ...

  8. 安全扫描工具AppScan使用简介

    AppScan是IBM的一款web安全扫描工具,具有利用爬虫技术进行网站安全渗透测试的能力,能够根据网站入口自动摸取网页链接进行安全扫描,提供了扫描.报告和修复建议等功能. appscan有自己的用例 ...

  9. web安全测试---AppScan扫描工具详解和测试方法说明

    web安全测试---AppScan扫描工具 安全测试应该是测试中非常重要的一部分,但他常常最容易被忽视掉. 尽管国内经常出现各种安全事件,但没有真正的引起人们的注意.不管是开发还是测试都不太关注产品的 ...

最新文章

  1. C#中struct和class的使用区别是什么?
  2. WP7版社交程序现真容,与Bing Map的完美结合。
  3. Java学习笔记——显示当前日期的三种方式
  4. 二 ASP.NET AutoPostBack
  5. 除了PS,原来这个也可以轻松实现图像处理!
  6. Lua for Windows 开始学习Lua编程
  7. python加载模型_解决python 无法加载downsample模型的问题
  8. access 删除字符串中的字符_SQL Server中的字符串分割函数
  9. 【反思】FB一年八个月工作教训
  10. Python语言概述
  11. filter函数 与filtfilt函数的效果区别
  12. 好看的(动态)Jay迷自制动态专辑卡片(正面和背面不同)和歌词页面
  13. 聊聊我当面试官的感受吧
  14. vue-router配置路由实现返回上一页,上一页页面数据留存
  15. 云开发(微信-小程序)笔记(十四)---- 收藏,点赞(上)
  16. 中国自主建成世界口径最大的大视场望远镜
  17. java学习0701(前端内容知识)
  18. 【techQA】如何在Mac OS 11 Big Sur or M1芯片Mac下开启蓝牙Apt-X
  19. ferguson博弈_组合博弈游戏
  20. AcWing 1145. 北极通讯网络 题解

热门文章

  1. java轮训算法_负载均衡算法WeightedRoundRobin(加权轮询)简介及算法实现
  2. [Vue3实操] 开发Todo List
  3. 题目2-1 where is the flag
  4. 巨问G1 G1 G1
  5. Hibernate的clear(),flush(),evict()方法
  6. HTML Ueditor图片宽度超出编辑器
  7. JVM 简介、程序计数器、虚拟机栈
  8. python中grid函数_numpy中的meshgrid函数的使用
  9. java swing单选按钮_Swing如何创建和使用单选按钮?
  10. 微信小程序 open-type=“getUserInfo“ 获取用户信息失败 @杨章隐