AppScan是用於web項目的安全測試工具,掃描網站全部url,自動測試是否存在各類類型的漏洞。appscan安裝在Windows環境上,版本越高,規則庫越全,掃描越全面。web
下載地址:瀏覽器
連接:https://pan.baidu.com/s/17-HTE1EH4pvu8HsvusGMSA安全
提取碼:x7lj服務器
掃描步驟以下:
微信
1、打開軟件,彈框歡迎界面,選擇「建立新的掃描」 -- 「常規掃描(或Regular Scan)」 ,彈出配置嚮導;app
2、掃描配置嚮導:「選擇想要執行的掃描類型」中選擇「Web 應用程序掃描」 ,點擊下一步,填寫「起始URL」,去掉勾選「我須要配置其餘連接設置(代理、HTTP認證)」;工具
點擊下一步,優先選擇「記錄登陸」,點擊右方紅點記錄按鈕。若軟件記錄登陸成功,會顯示綠色勾圖標,選擇自動登陸時也如此;性能
點擊下一步,如無特殊要求,「測試策略」通常選擇「缺省值」或「完成」,點擊下一步,選擇「我將稍後啓動掃描」。初次掃描時可選擇「自動探索」,勾選啓動「掃描專家」,點擊完成。測試
3、選擇稍後啓動時:網站
點擊「配置」按鈕,可查看或修改掃描的配置,如登陸帳號、測試策略、線程數等。測試策略依據項目測評要求而定,選擇不一樣嚴重性、類型、侵入式、WASC 威脅分類、組件啓用/禁用、使用CVSS,如無要求,則默認選擇,進行所有掃描。線程數依據項目性能而定,線程越大,掃描越快,但使用自動探索時或會被登出,如被顯示「會話檢測問題」,下降線程數是其中一個解決辦法。
選擇自動探索時:
軟件會自行運行,運行完畢後,左下角顯示的已訪問的頁面數通常超2位數則正常,掃描專家也會給出相應的建議。若只有10幾頁,則不正常,需手動探索。
4、手動或自動探索完畢,點擊菜單「掃描」 -- 「徹底掃描」,等掃描完畢便可。可切換「問題」視圖查看掃描出來的問題。
5、掃描完畢,點擊「報告」按鈕,導出報告,報告可根據自定義定製,導出修訂諮詢建議、所有URL等適用開發使用的數據。
值得注意:
1.頻繁出現會話檢測問題,可選擇下降線程。如不能解決,可將登陸方式改自動/提示登陸。
2.探索+測試可在配置後使用「徹底掃描」代替。
3.使用外部瀏覽器時需配置代理,點擊菜單「工具」 -- 「選項」 -- 「掃描選項」,查看AppScan代理端口。打開外部瀏覽器,在外部瀏覽器的設置裏,添加地址和端口號,如IE的「Internet選項」 -- 「鏈接」 -- 「局域網設置」,勾選代理服務器,填入地址和AppScan代理端口。運行時,手動打開IE瀏覽器,操做完畢關閉瀏覽器,操做便可被記錄。
4.配置時可添加多步驟測,屏蔽特定url或指定url測試。
本文分享自微信公衆號 - 軟件測試道與術(UTesting)。
若有侵權,請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」,歡迎正在閱讀的你也加入,一塊兒分享。