图解安全扫描工具 AppScan使用 html
IBM Rational AppScan 是一个面向 Web 应用安全检测的自动化工具,使用它能够自动化检测 Web 应用的安全漏洞。linux
好比跨站点脚本攻击(Cross Site Scripting Flaws)、注入式攻击(Injection Flaws)、失效的访问控制(Broken Access Control)、缓存溢出问题(Buffer Overflows)等等。windows
这些安全漏洞大多包括在 OWASP(Open Web Application Security Project,开放式 Web 应用程序安全项目)所公布的 Web 应用安全漏洞中。缓存
1/8
打开AppScan软件,点击工具栏上的 文件–> 新建,点击 “Regular Scan”,出现扫描配置向导页面,这里是选择“Web应用程序扫描,以下图所示:安全
2/8
点击”下一步“,出现URL和服务器的配置页面,如图,输入须要测试的URL服务器
特别说明:app
在“起始URL”下面输入须要启动扫描的URL,若是勾选了“仅扫描此目录中或目录下的连接”(以下图),则会只扫描起始URL目录或者子目录中的连接。工具
举例:若是咱们的网站www.sina.com.cn下面有两个目录test1和test2,当起始URL中输入"http://www.sina.com.cn/test1/"并勾选“仅扫描此目录中或目录下的连接”的时候,appscan不会扫描“www.sina.com.cn/test2”目录下的全部连接。性能
另外,若是被扫描对象的主机是unix或者linux,建议勾选下面的“将全部路径做为区分大小写来处理(Unix、Linux等)(T)”选项(以下图),由于unix或者linux是对大小写敏感的;若是被扫描对象的主机是windows主机,则没有必要勾选此项。测试
若是扫描的时候须要顺便扫描其它的服务器或者域,则须要在底下的“其它服务器和域”中添加对应的路径,以下图所示:
3/8
点击”下一步“,出现登陆管理的页面,这是由于对于大部分网站,须要用户名和密码登陆进去才能够查看许多内容,未登陆的状况下就只能够访问部分页面。
最经常使用的登陆方法有两种:记录和自动,以下图所示:
4/8
点击”下一步“,出现测试策略的页面,能够根据不一样的测试需求进行选择,这里选择的是”完成(Complete)“,即进行全面的测试
若是须要在登陆注销页面上进行攻击测试,则须要勾选“发送登陆和注销页面上的测试”两个勾选框(以下图),而后点击下一步,以下图所示:
5/8
点击”下一步“,出现完成配置向导的界面,这里使用默认配置,可根据需求更改,以下图所示:
6/8
点击”完成“,设置保存路径,即开始扫描,以下图所示:
7/8
待扫描专家分析完毕,点击”扫描 –> 继续彻底扫描“便可
8/8
等待测试完毕,便可分析结果