安全测试|AppScan扫描工具教程

📅 2026/7/16 16:20:21
安全测试|AppScan扫描工具教程
从事安全测试工作AppScan扫描工具不可或缺本文我们就通过教程来认识这款强大的安全测试工具。01AppScan是什么AppScan是IBM的一款web安全扫描工具可以利用爬虫技术进行网站安全渗透测试根据网站入口自动对网页链接进行安全扫描扫描之后会提供扫描报告和修复建议等。AppScan有自己的用例库版本越新用例库越全。AppScan的工作原理:在使用AppScan的时候通过配置网站的URL网址AppScan会利用“探索”技术去发现这个网站存在多少个目录多少个页面页面中有哪些参数等即探索出网站的整体结构。通过“探索”可确定测试的目标和范围然后利用AppScan的扫描规则库针对发现的每个页面的每个参数进行安全检查。02APPScan扫描操作教程1)打开AppScan--文件--新建--创建新的扫描弹出配置向导窗口选择第一项扫描web应用程序(注意选择第二项Web Service扫描功能时需要提前下载安装好GSC Web Services记录器)2)在URL输入框输入的地址即为被测网址or其IP地址点击“下一步”3)登录方法根据实际需要选择(如自动)用户名和密码即为被测网站的登录账户点击“下一步”注意若登录方法选择“记录”则可通过界面右侧的“记录(R)”按钮打开APPScan浏览器并输入登录信息关闭浏览器后AppScan即可记录该用户名和密码扫描的时候相当于是已登录此账户的状态进行扫描;若选择“提示”则根据网站扫描探索过程中需要登录会提示输入登录信息人工输入正确的账号信息之后继续扫描;若选择“无”则不需输入登录账户4)选择适当的测试策略(一般保持默认选择即“缺省值”)点击“下一步”5)测试优化可根据具体需要选择是否优化体现了扫描速度和时间长短一般首次扫描选择无优化进行全站扫描6)设置启动模式根据实际需要选择(如全面自动扫描)点击“完成”即可开始启动扫描or测试注意全面自动扫描探索的同时也进行攻击测试;仅自动“探索”自动探索网站的目录结构可被测的链接范围及数目不作实际攻击测试;手动探索先通过AppScan浏览器打开被测网站手动点击不同的目录页面然后AppScan会进行相关的记录;稍后启动扫描先把此次网站的扫描配置进行保存后续若想扫描的时候再继续操作;7)保存配置比如完成后会弹出保存配置的弹窗点击“是”将此次配置命名保存到指定文件夹下8)保存配置之后即会自动跳转到扫描网站的界面开始扫描一般扫描时间根据测试范围和策略有关这里可以看到扫描进度注意扫描过程中若扫描时间较长可自动让其扫描或者点击“暂停”-保存本次扫描然后下次继续未扫描的过程;若直接点击右上角“×”关闭AppScan则不会保存本次扫描的过程9)扫描完成之后可查看扫描的结果如下所示10)测试完成之后保存本次AppScan扫描测试的结果;从统计出的安全性问题可以查看对应的漏洞链接、请求和响应、修复建议