AppScan漏洞扫描操作手册
目录
一 软件介绍
二 扫描流程
2.1开启软件
2.2创建新的扫描
2.3常规配置向导
2.4添加URL和服务器
2.5登录管理
2.6测试策略
2.7确认配置
2.8扫描结果
三.总结
一 软件介绍
AppScan,即 AppScan standard edition。其安装在 Windows 操作系统上,可以对网站等 Web 应用进行自动化的应用安全扫描和测试。
Rational AppScan(简称 AppScan)其实是一个产品家族,包括众多的应用安全扫描产品,从开发阶段的源代码扫描的 AppScan source edition,到针对 Web 应用进行快速扫描的 AppScan standard edition,以及进行安全管理和汇总整合的 AppScan enterprise Edition 等。我们经常说的 AppScan 就是指的桌面版本的 AppScan,即 AppScan standard edition。其安装在 Windows 操作系统上,可以对网站等 Web 应用进行自动化的应用安全扫描和测试。
二 扫描流程
2.1开启软件
软件版本:9.0.3.5 系统:windows7
2.2创建新的扫描
创建新的扫描
2.3常规配置向导
开启扫描后,点击[下一步]
2.4添加URL和服务器
输入目标ID,后点击[下一步]
2.5登录管理
登陆管理可以不用管,直接点击[下一步]
2.6测试策略
策略都为默认,再点击[下一步]
2.7确认配置
确认配置后,点击[完成]
自动保存窗口选择点击[是]、[否]、[禁用]。这里选择[是]。
选择保存scan文件的路径
保存文件后,会自动进行扫描
2.8扫描结果
三.总结
上面文章只简单概述AppScan的扫描过程,尚未深入使用AppScan,AppScan的扫描原理如下:
通过搜索(爬行)发现整个 Web 应用结构
根据分析,发送修改的 HTTP Request 进行攻击尝试(扫描规则库)
通过对于 Respone 的分析验证是否存在安全漏洞