AppScan是用于web项目的安全测试工具,扫描网站全部url,自动测试是否存在各类类型的漏洞。appscan安装在Windows环境上,版本越高,规则库越全,扫描越全面。web
下载地址:浏览器
连接:https://pan.baidu.com/s/17-HTE1EH4pvu8HsvusGMSA安全
提取码:x7lj服务器
扫描步骤以下:
微信
1、打开软件,弹框欢迎界面,选择“建立新的扫描” -- “常规扫描(或Regular Scan)” ,弹出配置向导;app
2、扫描配置向导:“选择想要执行的扫描类型”中选择“Web 应用程序扫描” ,点击下一步,填写“起始URL”,去掉勾选“我须要配置其余连接设置(代理、HTTP认证)”;工具
点击下一步,优先选择“记录登陆”,点击右方红点记录按钮。若软件记录登陆成功,会显示绿色勾图标,选择自动登陆时也如此;性能
点击下一步,如无特殊要求,“测试策略”通常选择“缺省值”或“完成”,点击下一步,选择“我将稍后启动扫描”。初次扫描时可选择“自动探索”,勾选启动“扫描专家”,点击完成。测试
3、选择稍后启动时:网站
点击“配置”按钮,可查看或修改扫描的配置,如登陆帐号、测试策略、线程数等。测试策略依据项目测评要求而定,选择不一样严重性、类型、侵入式、WASC 威胁分类、组件启用/禁用、使用CVSS,如无要求,则默认选择,进行所有扫描。线程数依据项目性能而定,线程越大,扫描越快,但使用自动探索时或会被登出,如被显示“会话检测问题”,下降线程数是其中一个解决办法。
选择自动探索时:
软件会自行运行,运行完毕后,左下角显示的已访问的页面数通常超2位数则正常,扫描专家也会给出相应的建议。若只有10几页,则不正常,需手动探索。
4、手动或自动探索完毕,点击菜单“扫描” -- “彻底扫描”,等扫描完毕便可。可切换“问题”视图查看扫描出来的问题。
5、扫描完毕,点击“报告”按钮,导出报告,报告可根据自定义定制,导出修订咨询建议、所有URL等适用开发使用的数据。
值得注意:
1.频繁出现会话检测问题,可选择下降线程。如不能解决,可将登陆方式改自动/提示登陆。
2.探索+测试可在配置后使用“彻底扫描”代替。
3.使用外部浏览器时需配置代理,点击菜单“工具” -- “选项” -- “扫描选项”,查看AppScan代理端口。打开外部浏览器,在外部浏览器的设置里,添加地址和端口号,如IE的“Internet选项” -- “链接” -- “局域网设置”,勾选代理服务器,填入地址和AppScan代理端口。运行时,手动打开IE浏览器,操做完毕关闭浏览器,操做便可被记录。
4.配置时可添加多步骤测,屏蔽特定url或指定url测试。
本文分享自微信公众号 - 软件测试道与术(UTesting)。
若有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一块儿分享。