App Scan用法:
首先打開IBM Security AppScan Standard 工具
點擊 建立新的掃描 -> 點擊」常規掃描「 ->以後你就會看到以下圖:
這裏你能夠直接點擊 」下一步「 或是點擊 」完整掃描配置「
先點擊 」完整掃描配置「
URL 和服務器
1.在起始URL中輸入你要掃描的網站網址
2.你的系統中可能還包括其餘的域名能夠在這裏添加,注意格式要求(不能直接輸入整個網址,可使用fiddler4檢測工具 得到系統所訪問的地址)
點擊 登陸管理:
若是的你係統剛開始要登陸的話這裏要進行設置,若是不須要登陸直接選擇 選中」 無「 便可。
須要登陸的話 鼠標移到 」登陸「按鈕後點擊上圖的 」使用AppScan 瀏覽器「 就會根據你的URL 打開登陸頁面,要你輸入帳號和密碼
(我測試的這個頁面沒有登陸界面) ,當登陸成功後點擊 」我已登陸到站點「 按鈕,這樣就會記錄你的登陸序列
記錄成功後,點擊 標籤 」詳細信息「 能夠查看到驗證的成果
環境定義 能夠不進行更改 直接默認就好
排除路徑和文件
有須要的排除的路徑和文件 能夠在這裏添加。(我以前掃描這個系統,有個路徑執行saveOrUpdate操做,每次執行到這類路徑,掃描就掃不動了,並且老是會session重複登陸,以後在這邊把它排除掉,掃描速度就提了好多。因此對於那些可有可無的網址能夠在這邊排除掉)
探索選項 要適當進行修改
Glass Box
鏈接-
通訊 和代理
其餘的通常狀況 就不須要進行設置了,默認就行了。 設置完後你能夠導出爲模板,以便下次使用。
肯定按鈕 後 又返回到下圖:
由於你以前以及設置過了,因此一直點 」下一步「,
點擊 完成 後 若是勾選了 掃描專家 ,會先啓動 掃描專家 進行掃描優化(我比較煩這個,因此不勾選)
直接進入掃描了。
如上圖: AppScan 的掃描 分三類:徹底掃描 、僅探索、僅測試
若是系統須要掃描的頁面或是元素較少 能夠直接選中 徹底掃描(其實就是探索和測試一條龍服務)
若是頁面須要掃描的頁面和元素比較多時,能夠分開來,先探索,探索完成後再進行測試。
探索也就是 掃描出整個系統的基本結構和頁面。
測試 就是根據你所配置的信息 如測試策略、深度等等 對頁面中的元素進行測試 從而得出安全性問題
若是隻是對系統中某個模板進行 掃描的話,能夠 經過 」手動探索「 獲取須要掃描的指定頁面
在頁面中 點擊到你須要測試的模塊頁面,後單擊 」暫停記錄「 按鈕 後關閉頁面。
以後就會打開下面的對話框,裏面的url 就是是手動點擊頁面的 所包含的url鏈接
掃描完成後能夠 生成各類類型的 掃描報告,這個仍是不錯的,否則要本身去寫就太坑了。
掃描日誌:在掃描過程當中能夠查看掃描的一些信息
掃描的頁面還有許多有用的功能,以及頗有幫助的設置,能夠去網上查找。
掃描的結果截屏:
以前 掃描個系統,測試的元素太多,服務器又時常會連不上,花了28個小時。因此合理配置掃描信息仍是蠻重要的