目录

　　一 软件介绍

　　二 扫描流程

　　2.1开启软件

　　2.2创建新的扫描

　　2.3常规配置向导

　　2.4添加URL和服务器

　　2.5登录管理

　　2.6测试策略

　　2.7确认配置

　　2.8扫描结果

　　三.总结

　　一 软件介绍

　　AppScan，即 AppScan standard edition。其安装在 Windows 操作系统上，可以对网站等 Web 应用进行自动化的应用安全扫描和测试。

　　Rational AppScan(简称 AppScan)其实是一个产品家族，包括众多的应用安全扫描产品，从开发阶段的源代码扫描的 AppScan source edition，到针对 Web 应用进行快速扫描的 AppScan standard edition，以及进行安全管理和汇总整合的 AppScan enterprise Edition 等。我们经常说的 AppScan 就是指的桌面版本的 AppScan，即 AppScan standard edition。其安装在 Windows 操作系统上，可以对网站等 Web 应用进行自动化的应用安全扫描和测试。

　　二 扫描流程

　　2.1开启软件

　　软件版本：9.0.3.5 系统：windows7

　　2.2创建新的扫描

　　创建新的扫描

　　2.3常规配置向导

　　开启扫描后，点击[下一步]

　　2.4添加URL和服务器

　　输入目标ID，后点击[下一步]

　　http://192.168.200.156:8000

　　2.5登录管理

　　登陆管理可以不用管，直接点击[下一步]

　　2.6测试策略

　　策略都为默认，再点击[下一步]

　　2.7确认配置

　　确认配置后，点击[完成]

　　自动保存窗口选择点击[是]、[否]、[禁用]。这里选择[是]。

　　选择保存scan文件的路径

　　保存文件后，会自动进行扫描

　　2.8扫描结果

　　三.总结

　　上面文章只简单概述AppScan的扫描过程，尚未深入使用AppScan，AppScan的扫描原理如下：

　　 通过搜索(爬行)发现整个 Web 应用结构

　　 根据分析，发送修改的 HTTP Request 进行攻击尝试(扫描规则库)

　　 通过对于 Respone 的分析验证是否存在安全漏洞