IBM Security AppScan Standard 用外部設備錄製腳本（手機端應用、app、微信等）進行安全測試

1、打開AppScan，選擇外部設備/客戶機，點擊下一步

2、記錄代理設置，能夠手動輸入須要的端口號，也能夠自動選擇，記住端口號以及PC電腦的ip地址，手機端如何設置對應的端口跟ip能夠參考

Jmeter(十三)用Jmeter自帶錄製工具代理錄製手機端應用腳本APP腳本，原理是同樣的

3、SSL證書，點擊下一步

4、登錄管理，點擊下一步，

選擇「是」

5、選擇測試策略，點擊下一步

 

 6、完成掃描配置嚮導

 點擊完成以後，會彈出錄製窗口

7、外部流量記錄器

這個時候，能夠操做外部機器對須要掃描的功能模塊進行錄製，

檢測到的域：記錄外部機器操做時所產生的域名及URL，能夠進行篩選，若是出現多餘的其餘域，也可進行刪除

發送的請求：記錄外部機器操做時對應的功能模塊的http請求，js等

腳本錄製成功以後，點擊中止記錄，腳本即完成了。

 

經過將 AppScan 用做記錄代理來進行手動探索時，該記錄器將顯示檢測到的域和接收到的流量，並使您可以控制將對這些項中的哪些進行測試。該記錄器的受限版本用於對登陸序列進行記錄。

當您單擊 手動探索 > 使用外部設備時，「外部流量記錄器」將打開。

項目	描述
代理鏈接狀態	顯示是否正在記錄入局鏈接，以及其餘狀態消息。
偵聽端口	顯示已分配給此記錄器的當前端口。 要更改該端口，或任何其餘記錄代理配置，均請單擊記錄代理配置（有關詳細信息，請參閱「記錄代理」選項卡）。
已記錄流量
檢測到的域（左窗格）	在已記錄流量中檢測到的全部域的列表。 選擇應包含在掃描中的域。 關閉此記錄器時，全部已選域都會添加到「其餘服務器和域」列表（配置 > URL 和服務器 > 其餘服務器和域）並將包含在掃描中。
已發送的請求（右窗格）	顯示「手動探索」期間已記錄的全部請求。來自左窗格中已選域的請求將以黑色顯示；其餘請求將以灰色顯示。 要僅查看來自所選域的請求，請單擊隱藏來自已過濾域的請求複選框 要從列表中刪除與掃描不相關的單獨請求，請選擇相應請求，而後單擊 「一」減號圖標
導出	單擊可導出記錄以在另外一臺機器上使用。僅在記錄已中止後，該按鈕纔會被激活。
應用「探索」階段冗餘調整	（缺省狀況下已選中）選中後，「探索」階段冗餘調整（配置 >「參數和 Cookie」選項卡 > 冗餘調整缺省值 > 探索）將在您關閉對話框時應用於當前記錄，以幫助避免重複的請求。 請僅在選中該複選框會致使「手動探索」中的 cookie 缺失的狀況下清空該複選框。
中止記錄	中止記錄，同時保留對話框處於打開狀態，以查看和編輯列表。 注： 一旦您中止記錄，便沒法在不丟棄當前數據的狀況下從新啓動記錄。
肯定	關閉對話框，並將全部當前已選域添加到掃描中包含的其餘服務器和域的列表（配置 > URL 和服務器 > 其餘服務器和域）。

 

8、錄製好須要的場景或者對應的腳本以後，點擊完成，後續就能夠進行對應的掃描工做了