一、AppScan安装包下载地址:
9.0.3.5链接:https://pan.baidu.com/s/1WoTMxWZaaB-6zwSA8N5hkQ
提取码:zvcu
9.0.3.13链接:https://pan.baidu.com/s/1LS018h2EGiabgFtEEUpm8A
提取码:6hm1
二、AppScan安装
1.1 下载后解压压缩包,双击AppScan_Setup_9013,开始安装。如果电脑没有安装.net,会在安装过程中提示安装.net,同意安装就可以。
安装过程中,会出现一个弹框,让选择是否下载Webservice服务,选择否。其它弹框全部不要管,直接下一步就可以。
P.S. APPScan安装运行需要.NET框架
1.2 安装完成后,将rcl_relational.dll文件替换安装路径下的同名文件。我的安装路径是D:\software\IBM\AppScan Standard
1.3 运行AppScan,按下图导入许可证AppScanStandard
二、 扫描配置
1、新建扫描配置,选择“使用外部客户机扫描”
2、根据向导进行配置
2.1 记录代理配置
代理端口:可以让其自动分配端口,也可以设置固定端口。我设置的是固定端口
使用第三发客户机:选择远程
2.2 下一步,根据页面提示在本机安装SSL证书,安装完成界面如下
2.3 手机下载证书
1)将手机和电脑接入到同一wifi,配置手机wifi的代理:IP是本机的IP地址,端口是之前设置的端口 55555
2)手机访问http://appscan,如下图显示,下载并安装证书。下载完成后,手机连入到AppScan中,会提示是否将IP地址(手机IP地址)加入到白名单,点击允许。
P.S. IOS安装后,需要在关于手机-->证书信任设置,信任刚安装的证书才可以使用AppScan代理
2.4 登录管理。因为外部设备测试需要手动遍历,不需要AppScan自动登录。这里只是测试一下AppScan能否收到手机发送的请求。连接成功界面如下
2.5 测试策略默认
2.6 完成配置
3 扫描
3.1 完成配置后,进入外部流量记录器页面---这时,可以操作App进行功能遍历。
3.2 功能遍历结束,选择需要的域,点击确定后导入到AppScan中,如下图
3.3 选择扫描方式进行安全扫描
扫描方式有3种:完全自动扫描、继续仅探索、仅测试
P.S. 小网站不建议选择自动安全扫描,因为自动扫描可能会因为系统页面的耦合性关系导致爬虫找不到一些页面,所以建议采用手动探索后继续仅探索后继续仅测试,大网站建议采用完全自动扫描
4 报告
扫描完成后,选择报告模板,将报告导出即可。导出的报告默认是pdf格式,
参考: