安全测试工具APPScan安装与入门使用教程

IBM AppScan是一款目前最好用的Web 应用安全测试工具,Rational AppScan 可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)、缓冲区溢出(buffer overflow)及最新的 Flash/Flex 应用及 Web 2.0 应用曝露等方面安全漏洞的扫描。

一.下载Appscan安装包及补丁:

下载地址:

链接:https://pan.baidu.com/s/1pbxscV4VNkpEwGop6Gj6Kw
提取码:fana

版本是9.0.3.6

 

二.安装Appscan

1.运行安装包

 

2.选择安装语言为简体中文,点击确定按钮后,就开始安装了。

 

3.如果操作系统中没有.NET Framework 4.6.2 Web组件,这里提示需要安装即可。

4.点击【更改】按钮可以更改程序安装位置,默认是C盘。一般建议软件不要安装在C盘。然后点击【安装】到该目录。

 

5.如果需求扫描Web services点击【是】安装该插件,如果不需要点击【否】如果只是扫描web就不需要安装。

 

6.点击【完成】可完成软件的安装。

 

三.破解软件:

安装完成之后把LicenseProvider.dll文件将它复制放到安装目录下覆盖原来的文件。

 

四.运行软件:

注册完成,现在就可以使用AppScan 9.0.3.6的全部功能了,如下图所示:

注意:替换后运行软件还显示演示许可证,但是扫描目标已不受限制。

2、使用

1.新建扫描:一般选择 常规扫描

2.选择扫描的平台:web或app

3.扫描配置向导

①配置URL和服务器

 

②配置登录管理

在扫描的过程中,可能会不小心碰到退出按钮导致Appscan注销.因此,要登陆到应用程序中,我们需要根据需求设置。

在测试的web没有验证码情况下,可以使用(1和3种登陆方法)

在web有验证码情况下,可以使用第二种登陆方法。推荐使用第一种方法。

 

记录:选择此项后,会出现一个新的浏览器,并尝试链接到指定的网站作为本扫描的起始URL.你需要输入账号和密码登陆到应用程序.这样设置之后你可以关闭浏览器,但是不要点击注销按钮。有时候你会发现打开的浏览器不是IE或者Mozilla,而是Appscan浏览器.你可以改变通过设置来改变这个。工具–>Options –>Advanced,设置OpenIEBrower的值0–Appscan浏览器,1–IE,2–Firefox,3–Chrome.如果该网站的行为在不同的浏览器下有所不同,这个设置将是非常有用的.

提示:每次注销之后,Appscan会提示你登陆到应用程序中.如果你打算整个扫描你的系统,你可以选择这个选项。

自动:在这里可以直接指定用户名和密码,当需要登陆到应用程序的时候。

在浏览器打开的界面(需扫描的web)上输入用户名和密码后,点击系统的登录按钮。如果登录成功,可点击【我已登录到站点】。appscan会开始分析登录操作,若成功记录下登录操作,会执行注销操作。

appscan执行完注销操作后,会回到配置向导界面:有标志,说明已记录成功。

 

 

③测试策略

扫描期间,AppScan® 发送的测试数量可以达到数千。有时,最好将扫描限制在仅扫描特定类型,以减少扫描时间。这是“测试策略”。几种测试策略说明:

 

缺省值:包含多有测试,但不包含侵入式和端口侦听器

仅应用程序:包含所有应用程序级别的测试,但不包含侵入式和端口侦听器

仅基础结构:包含所有基础结构级别的测试,但不包含侵入式和端口侦听器

侵入式:包含所有侵入式测试(可能影响服务器稳定性的测试)

完成:该策略包含所有 AppScan 测试,但端口侦听器测试除外。

关键的少数:包含一些成功可能性较高的测试精选,在时间有限时对站点评估可能有用

开发者精要:包含一些成功可能性极高的应用程序测试的精选,在时间有限时对站点评估可能有用

仅第三方:该策略包含所有第三方级别测试,但侵入式和端口侦听器测试除外。

生产站点:此策略“排除”可能损坏站点的侵入式测试,或测试可能导致“拒绝服务”的其他用户。

Web Services:该策略包含所有 SOAP 相关的非侵入式测试。

 

选择合适的策略后,点击【下一步】

 

④完成

选择–启动全面自动扫描,点击【完成】按钮。

4.启动扫描专家

扫描专家会先大致的探索被测网站,提出建议,以更好的扫描应用程序。

 

扫描专家建议:

 

可手动配置环境:提高性能和准确性。

 

 

 

 

5.开始测试

应用扫描专家的建议后,整个扫描就开始了。系统先会扫描大致的网站,了解所需测的页面、测试元素、发送请求数。扫描结束后,开始测试。

 

6.测试结束

 

7.生成测试报告

 

 

相关推荐

初入Linux,如何在Ubuntu18.04上通过anaconda安装FEniCS有限元框架

初入Linux,如何在Ubuntu18.04上通过anaconda安装FEniCS有限元框架

属性修改

基于QGraphicsView的简易画板EasyCanvas — 第一版

图像通道转换—-CNN卷积网络中的图像(rgb,w,h)与cv2读入的图像(w,h,rgb)之间转换

《云计算全栈》-python篇:使用python模拟cp操作、编写脚本实现linux中cp操作

《云计算全栈》-python篇:使用python模拟cp操作、编写脚本实现linux中cp操作