圖解安全掃描工具 AppScan使用 html
IBM Rational AppScan 是一個面向 Web 應用安全檢測的自動化工具,使用它能夠自動化檢測 Web 應用的安全漏洞。linux
好比跨站點腳本攻擊(Cross Site Scripting Flaws)、注入式攻擊(Injection Flaws)、失效的訪問控制(Broken Access Control)、緩存溢出問題(Buffer Overflows)等等。windows
這些安全漏洞大多包括在 OWASP(Open Web Application Security Project,開放式 Web 應用程序安全項目)所公佈的 Web 應用安全漏洞中。緩存
1/8
打開AppScan軟件,點擊工具欄上的 文件–> 新建,點擊 「Regular Scan」,出現掃描配置嚮導頁面,這裏是選擇「Web應用程序掃描,以下圖所示:安全
2/8
點擊」下一步「,出現URL和服務器的配置頁面,如圖,輸入須要測試的URL服務器
特別說明:app
在「起始URL」下面輸入須要啓動掃描的URL,若是勾選了「僅掃描此目錄中或目錄下的連接」(以下圖),則會只掃描起始URL目錄或者子目錄中的連接。工具
舉例:若是咱們的網站www.sina.com.cn下面有兩個目錄test1和test2,當起始URL中輸入"http://www.sina.com.cn/test1/"並勾選「僅掃描此目錄中或目錄下的連接」的時候,appscan不會掃描「www.sina.com.cn/test2」目錄下的全部連接。性能
另外,若是被掃描對象的主機是unix或者linux,建議勾選下面的「將全部路徑做爲區分大小寫來處理(Unix、Linux等)(T)」選項(以下圖),由於unix或者linux是對大小寫敏感的;若是被掃描對象的主機是windows主機,則沒有必要勾選此項。測試
若是掃描的時候須要順便掃描其它的服務器或者域,則須要在底下的「其它服務器和域」中添加對應的路徑,以下圖所示:
3/8
點擊」下一步「,出現登陸管理的頁面,這是由於對於大部分網站,須要用戶名和密碼登陸進去才能夠查看許多內容,未登陸的狀況下就只能夠訪問部分頁面。
最經常使用的登陸方法有兩種:記錄和自動,以下圖所示:
4/8
點擊」下一步「,出現測試策略的頁面,能夠根據不一樣的測試需求進行選擇,這裏選擇的是」完成(Complete)「,即進行全面的測試
若是須要在登陸註銷頁面上進行攻擊測試,則須要勾選「發送登陸和註銷頁面上的測試」兩個勾選框(以下圖),而後點擊下一步,以下圖所示:
5/8
點擊」下一步「,出現完成配置嚮導的界面,這裏使用默認配置,可根據需求更改,以下圖所示:
6/8
點擊」完成「,設置保存路徑,即開始掃描,以下圖所示:
7/8
待掃描專家分析完畢,點擊」掃描 –> 繼續徹底掃描「便可
8/8
等待測試完畢,便可分析結果