一、appscan扫描
(1)白盒扫描=静态扫描,扫描源代码。(2)动态扫描=黑盒扫描,用工具来模拟黑客的攻击,查看应用层的响应。产品内部会有大量受攻击的库,当咱们把一个模拟攻击发给咱们的应用的时候,而后用工具来分析响应。
二、AppScan Web应用扫描流程
三、自动网络探索能力优点
四,设置配置向导
测试网址:http://demo.testfire.net/bank/login.aspx文件----->新建----->预约义模板(选择“常规扫描"为例)----->web应用程序扫描------>输入须要测试网址
点击"记录”
Username:jsmith
password:demo1234
而后关闭Altoro Mutual:Online Banking Longin-Appscan 浏览器,在扫描配置向导页面的“使用如下登陆序列登陆应用程序”框中会显示登陆的会员登陆成功后的网址信息,而后点击“下一步”
再点击下一步
点击完成
选择"是“自动保存
保存扫描结果
五,web services扫描
接口测试网址:http://demo.testfire.net/transfer/transfer.asmx?wsdl
在扫描配置向导中选择通用服务客户机
设置起始URL
默认测试策略web Service
完成
显示通用服务窗口
输入用户id选择调用
转帐接口数据的输入
方法调用
探索完成以后关闭Generic Sercice Client窗口,appscan就会对探索的结果进行分析扫描,
而后在扫描选项中选择仅测试
显示扫描结果
6、Glass Box Scanning-架构
打开wed应用扫描的文件,在工具菜单选项中选择Glass box代理程序管理-----玻璃盒代理
能够帮助用户发现隐藏的参数,页面