一、appscan掃描
(1)白盒掃描=靜態掃描,掃描源代碼。(2)動態掃描=黑盒掃描,用工具來模擬黑客的攻擊,查看應用層的響應。產品內部會有大量受攻擊的庫,當咱們把一個模擬攻擊發給咱們的應用的時候,而後用工具來分析響應。
二、AppScan Web應用掃描流程
三、自動網絡探索能力優點
四,設置配置嚮導
測試網址:http://demo.testfire.net/bank/login.aspx文件----->新建----->預約義模板(選擇「常規掃描"爲例)----->web應用程序掃描------>輸入須要測試網址
點擊"記錄」
Username:jsmith
password:demo1234
而後關閉Altoro Mutual:Online Banking Longin-Appscan 瀏覽器,在掃描配置嚮導頁面的「使用如下登陸序列登陸應用程序」框中會顯示登陸的會員登陸成功後的網址信息,而後點擊「下一步」
再點擊下一步
點擊完成
選擇"是「自動保存
保存掃描結果
五,web services掃描
接口測試網址:http://demo.testfire.net/transfer/transfer.asmx?wsdl
在掃描配置嚮導中選擇通用服務客戶機
設置起始URL
默認測試策略web Service
完成
顯示通用服務窗口
輸入用戶id選擇調用
轉帳接口數據的輸入
方法調用
探索完成以後關閉Generic Sercice Client窗口,appscan就會對探索的結果進行分析掃描,
而後在掃描選項中選擇僅測試
顯示掃描結果
6、Glass Box Scanning-架構
打開wed應用掃描的文件,在工具菜單選項中選擇Glass box代理程序管理-----玻璃盒代理
能夠幫助用戶發現隱藏的參數,頁面