IBM Security AppScan Standard 用外部设备录制脚本（手机端应用、app、微信等）进行安全测试

1、打开AppScan，选择外部设备/客户机，点击下一步

2、记录代理设置，能够手动输入须要的端口号，也能够自动选择，记住端口号以及PC电脑的ip地址，手机端如何设置对应的端口跟ip能够参考

Jmeter(十三)用Jmeter自带录制工具代理录制手机端应用脚本APP脚本，原理是同样的

3、SSL证书，点击下一步

4、登录管理，点击下一步，

选择“是”

5、选择测试策略，点击下一步

 

 6、完成扫描配置向导

 点击完成以后，会弹出录制窗口

7、外部流量记录器

这个时候，能够操做外部机器对须要扫描的功能模块进行录制，

检测到的域：记录外部机器操做时所产生的域名及URL，能够进行筛选，若是出现多余的其余域，也可进行删除

发送的请求：记录外部机器操做时对应的功能模块的http请求，js等

脚本录制成功以后，点击中止记录，脚本即完成了。

 

经过将 AppScan 用做记录代理来进行手动探索时，该记录器将显示检测到的域和接收到的流量，并使您可以控制将对这些项中的哪些进行测试。该记录器的受限版本用于对登陆序列进行记录。

当您单击 手动探索 > 使用外部设备时，“外部流量记录器”将打开。

项目	描述
代理链接状态	显示是否正在记录入局链接，以及其余状态消息。
侦听端口	显示已分配给此记录器的当前端口。 要更改该端口，或任何其余记录代理配置，均请单击记录代理配置（有关详细信息，请参阅“记录代理”选项卡）。
已记录流量
检测到的域（左窗格）	在已记录流量中检测到的全部域的列表。 选择应包含在扫描中的域。 关闭此记录器时，全部已选域都会添加到“其余服务器和域”列表（配置 > URL 和服务器 > 其余服务器和域）并将包含在扫描中。
已发送的请求（右窗格）	显示“手动探索”期间已记录的全部请求。来自左窗格中已选域的请求将以黑色显示；其余请求将以灰色显示。 要仅查看来自所选域的请求，请单击隐藏来自已过滤域的请求复选框 要从列表中删除与扫描不相关的单独请求，请选择相应请求，而后单击 “一”减号图标
导出	单击可导出记录以在另外一台机器上使用。仅在记录已中止后，该按钮才会被激活。
应用“探索”阶段冗余调整	（缺省状况下已选中）选中后，“探索”阶段冗余调整（配置 >“参数和 Cookie”选项卡 > 冗余调整缺省值 > 探索）将在您关闭对话框时应用于当前记录，以帮助避免重复的请求。 请仅在选中该复选框会致使“手动探索”中的 cookie 缺失的状况下清空该复选框。
中止记录	中止记录，同时保留对话框处于打开状态，以查看和编辑列表。 注： 一旦您中止记录，便没法在不丢弃当前数据的状况下从新启动记录。
肯定	关闭对话框，并将全部当前已选域添加到扫描中包含的其余服务器和域的列表（配置 > URL 和服务器 > 其余服务器和域）。

 

8、录制好须要的场景或者对应的脚本以后，点击完成，后续就能够进行对应的扫描工做了