Appscan 的安装与使用

Stella981
• 阅读 586

一、安装

1、右键安装文件,以管理员身份运行,如下图所示:

Appscan 的安装与使用

2、点击【确定】

Appscan 的安装与使用

3、点击【安装】

Appscan 的安装与使用

4、选择:我接受许可协议中单位全部条款,点击【下一步】

Appscan 的安装与使用

5、点击【安装】到该目录

Appscan 的安装与使用

6、如果需求扫描Web services点击【是】安装该插件,如果不需要点击【否】如果只是扫描web就不需要安装

Appscan 的安装与使用

7、点击【完成】

Appscan 的安装与使用

8、安装完成之后把LicenseProvider.dll文件将它复制放到安装目录下覆盖原来的

Appscan 的安装与使用

二、使用步骤

计划阶段:明确目的,进行策略性的选择和任务分解。

  1. 明确目的:选择合适的扫描策略

  2. 了解对象:首先进行探索,了解网站结构和规模

  3. 确定策略:进行对应的配置

a) 按照目录进行扫描任务的分解

b) 按照扫描策略进行扫描任务的分解

执行阶段:一边扫描一遍观察

  1. 进行扫描

  2. 先爬后扫(继续仅测试)

检查阶段(Check)

  1. 检查和调整配置

结果分析(Analysis)

  1. 对比结果

  2. 汇总结果(整合和过滤)

三、使用教程

1.appscan的启动与基本配置

Appscan 的安装与使用

Appscan 的安装与使用

说明:这里也可以先点击左下角的“完全扫描配置”选项进行扫描配置(后面再具体讲扫描配置)。

Appscan 的安装与使用

在“起始URL”下面输入需要启动扫描的URL,如果勾选了“仅扫描此目录中或目录下的链接”(如下图),则会只扫描起始URL目录或者子目录中的链接。

举例:如果我们的网站www.sina.com.cn****下面有两个目录test1****和test2**,当起始URL****中输入"http://www.sina.com.cn/test1/"****并勾选“****仅扫描此目录中或目录下的链接”的时候,appscan不会扫描“www.sina.com.cn/test2”\*\***目录下的所有链接。**

另外,如果被扫描对象的主机是unix或者linux,建议勾选下面的“将所有路径作为区分大小写来处理(Unix、Linux等)(T)”选项(如下图),因为unix或者linux是对大小写敏感的;如果被扫描对象的主机是windows****主机,则没有必要勾选此项。

​ 如果扫描的时候需要顺便扫描其它的服务器或者域,则需要在底下的“其它服务器和域”中添加对应的路径(如下图)。

​ 做完上述操作后,点击“下一步”。

Appscan 的安装与使用

在显示的配置向导的登录方法页面,可以选择合适的登录方法便于后续扫描的开展。

​ 最长用的登录方法有两种:记录和自动,这里不是重点,以“记录”为例。

​ 记录:如果选择“记录”,左边会显示如下图的界面

Appscan 的安装与使用

点击“记录”按钮,会弹出浏览器加载上面输入的扫描起始URL,这个时候正常的像操作web界面一样输入用户名/密码登录被测系统后,直接点击关闭窗口按钮即可,这个过程中会把整个登录过程给录制下来用于后面的登录验证(如下图)。

Appscan 的安装与使用

Appscan 的安装与使用

其它的保持默认选择,直接点击“下一步”按钮即可。

​ 如果需要在登录注销页面上进行攻击测试,则需要勾选“发送登录和注销页面上的测试”两个勾选框(如下图),然后点击下一步。

Appscan 的安装与使用

测试策略选择步骤如下:

1选择缺省的扫描策略,切换到按照“类型”分类,取消掉“基础结构”和“应用程序”两种类型。

说明:把扫描策略置空,没有选择任何的扫描策略。在分组类型中选择“类型”分类,类型分类中只有两种类型:“基础结构”和“应用程序”,可以快速全部都取消掉。

Appscan 的安装与使用

2分组类型,切换到“WASC威胁分类”,选择“SQL注入”和“跨站点脚本编制”。

Appscan 的安装与使用

3.分组类型,切换到“类型”,发现这时候“基础结构”和“应用程序”两种类型的扫描策略都是选择上的模式,而且是虚线,说明这两种类型下均有部分扫描策略被选择了,我们不关心“基础结构”级别的安全问题,所以在这里取消“基础结构”。

Appscan 的安装与使用

4.分组类型,切换到“侵入式”,发现这时候“侵入式”和“非侵入式”两种类型的扫描策略都是选择上的模式。“侵入式”会有有比较强的副作用,可能对系统造成伤害,所以一般扫描生产系统的时候,很少选择。这里把“侵入式”的用例取消掉。

Appscan 的安装与使用

把选择好的测试策略,我们可以把它导出成一个模板,方便以后使用:

Appscan 的安装与使用

在完成扫描配置向导页面,选择对应的的启动方式,默认情况下采用“启动全面扫描”,并勾选“完成扫描配置向导后启动扫描专家”选项,然后点击完成即可(如下图)。

Appscan 的安装与使用

到此为止,完成了appscan的基本扫描配置,已经基本上满足大多数常用扫描场景的需求

2.模板管理

为了防止每次扫描的时候都要进行上述设置,可以在设置好之后导出为模板(上图中左下角有“导出为模板”的菜单),这样一来,每次扫描同样的业务的时候,只要装入对应的模板就可以了,不需要重新设置繁琐的配置项。

3.注意事项

进行appscan扫描的时候,最好在关闭防火墙的情况下扫描,这样在漏洞攻击过程中appscan的等待相应时间短,攻击成功率搞,测试结果相对准确;会从整体上提高扫描效率和扫描准确度。

点赞
收藏
评论区
推荐文章
blmius blmius
3年前
MySQL:[Err] 1292 - Incorrect datetime value: ‘0000-00-00 00:00:00‘ for column ‘CREATE_TIME‘ at row 1
文章目录问题用navicat导入数据时,报错:原因这是因为当前的MySQL不支持datetime为0的情况。解决修改sql\mode:sql\mode:SQLMode定义了MySQL应支持的SQL语法、数据校验等,这样可以更容易地在不同的环境中使用MySQL。全局s
Wesley13 Wesley13
3年前
java将前端的json数组字符串转换为列表
记录下在前端通过ajax提交了一个json数组的字符串,在后端如何转换为列表。前端数据转化与请求varcontracts{id:'1',name:'yanggb合同1'},{id:'2',name:'yanggb合同2'},{id:'3',name:'yang
皕杰报表之UUID
​在我们用皕杰报表工具设计填报报表时,如何在新增行里自动增加id呢?能新增整数排序id吗?目前可以在新增行里自动增加id,但只能用uuid函数增加UUID编码,不能新增整数排序id。uuid函数说明:获取一个UUID,可以在填报表中用来创建数据ID语法:uuid()或uuid(sep)参数说明:sep布尔值,生成的uuid中是否包含分隔符'',缺省为
待兔 待兔
4个月前
手写Java HashMap源码
HashMap的使用教程HashMap的使用教程HashMap的使用教程HashMap的使用教程HashMap的使用教程22
Jacquelyn38 Jacquelyn38
3年前
2020年前端实用代码段,为你的工作保驾护航
有空的时候,自己总结了几个代码段,在开发中也经常使用,谢谢。1、使用解构获取json数据let jsonData  id: 1,status: "OK",data: 'a', 'b';let  id, status, data: number   jsonData;console.log(id, status, number )
Stella981 Stella981
3年前
Appscan的下载安装
1、下载Appscan:http://download2.boulder.ibm.com...2AppScan\_Setup.exe(https://www.oschina.net/action/GoToLink?urlhttp%3A%2F%2Fdownload2.boulder.ibm.com%2Fsar%2FCMA%2FRAA%2F00jq2
Stella981 Stella981
3年前
Android So动态加载 优雅实现与原理分析
背景:漫品Android客户端集成适配转换功能(基于目标识别(So库35M)和人脸识别库(5M)),导致apk体积50M左右,为优化客户端体验,决定实现So文件动态加载.!(https://oscimg.oschina.net/oscnet/00d1ff90e4b34869664fef59e3ec3fdd20b.png)点击上方“蓝字”关注我
Wesley13 Wesley13
3年前
mysql设置时区
mysql设置时区mysql\_query("SETtime\_zone'8:00'")ordie('时区设置失败,请联系管理员!');中国在东8区所以加8方法二:selectcount(user\_id)asdevice,CONVERT\_TZ(FROM\_UNIXTIME(reg\_time),'08:00','0
Wesley13 Wesley13
3年前
MySQL部分从库上面因为大量的临时表tmp_table造成慢查询
背景描述Time:20190124T00:08:14.70572408:00User@Host:@Id:Schema:sentrymetaLast_errno:0Killed:0Query_time:0.315758Lock_
Python进阶者 Python进阶者
10个月前
Excel中这日期老是出来00:00:00,怎么用Pandas把这个去除
大家好,我是皮皮。一、前言前几天在Python白银交流群【上海新年人】问了一个Pandas数据筛选的问题。问题如下:这日期老是出来00:00:00,怎么把这个去除。二、实现过程后来【论草莓如何成为冻干莓】给了一个思路和代码如下:pd.toexcel之前把这