测试工具AppScan安装使用
参与项目中使用Appscan进行安全扫描测试分析,查找系统安全漏洞,并根据相关修订建议,对系统进行调整以及修补相关漏洞,提高系统安全性。本文以此为基础,并查阅相关资料,对于Appscan的基本概念、安装过程以及使用说明进行相关介绍,以便后续持续使用,并为后来者提供参考借鉴,文中不免疏漏之处,望读者予以指正,不胜感激!
1. 概念
AppScan是IBM的一款web安全扫描工具,可以利用爬虫技术进行网站安全渗透测试,根据网站入口自动对网页链接进行安全扫描,扫描之后会提供扫描报告和修复建议等。
AppScan有自己的用例库,版本越新用例库越全(用例库越全面,对漏洞的检测较全面,被测试系统的安全性则越高)
工作原理:
1)通过探索了解整个web页面结果
2)通过分析,使用扫描规则库对修改的HTTP Request进行攻击尝试
3)分析 Response 来验证是否存在安全漏洞
2. 下载安装
2.1 下载路径
安装版本:AppScan_Setup_10.0.0
安装包,可通过在线搜索查找,以及破解方法也可在线查找。
2.2 安装过程
双击exe文件,一直下一步即可
安装完成后,可根据相关的文件提示,进行版本的破解。
3. 使用说明
3.1 进入主界面
- 双击快捷键 即可进入appscan主界面
3.2 创建新扫描
-
点击–扫描Web应用程序,
-
填入需要扫描的URL,下一步,
3.4 登录管理
-
登录管理
-
记录–选择浏览器,进入web界面进行登录系统;
-
输入账户密码,进行登录,并选择–我已登录到站点
-
登录后,选择我已登录系统
-
一直下一步即可
3.5 开启全面扫描
- 完成,启动全面扫描
- 扫描过程中
3.6 扫描结果
根据扫描结果以及分析结果,查看当前扫描系统存在的安全问题,并可逐条问题查看修订建议,进行系统的安全配置调整加固等操作。
4. 参考资料
[1] http://www.encoreconsulting.com/3-10-AppScan.html
[2] https://www.cnblogs.com/jingdenghuakai/p/10907153.html
[3] https://blog.csdn.net/qq_38317509/article/details/80981430