如何使用AppScan？

1.启动软件进入主界面—>选择创建新的扫描：

2.在弹出的新建扫描对话框中选择常规扫描

3.在弹出的扫描配置向导对话框中选择AppScan(自动或手动)，点击下一步

4.在此页面中填写需要扫描系统的网址，点击下一步

5.选择登陆方式为记录，（也可以选择自动：自己手动输入用户名和密码）点击下一步

6.测试策略说明：
①缺省值：包含多有测试，但不包含侵入式和端口侦听器
②仅应用程序：包含所有应用程序级别的测试，但不包含侵入式和端口侦听器
③仅基础结构：包含所有基础结构级别的测试，但不包含侵入式和端口侦听器
④侵入式：包含所有侵入式测试（可能影响服务器稳定性的测试）
⑤完成：包含所有的AppScan测试
⑥关键的少数：包含一些成功可能性较高的测试精选，在时间有限时对站点评估可能有用⑦开发者精要：包含一些成功可能性极高的应用程序测试的精选，在时间有限时对站点评估可能有用

7.启动全面自动扫描

8.在自动保存对话框中选择是

9.将扫描文件保存在本地目录下
10.进行第一遍的探索

11.探索完成获得探索到的结果

12.在扫描菜单栏中选择扫描配置，弹出扫描配置对话框，在环境定义中选择测试系统需要的配置，点击应用

13.进行继续完全扫描

14.等待扫描完成

常见的漏洞：AppScan是一款非常好用且功能强大的Web 应用安全测试工具，Rational AppScan 可自动化 Web 应用的安全漏洞评估工作，能扫描和检测所有常见的 Web 应用安全漏洞，例如 SQL 注入（SQL-injection）、跨站点脚本攻击（cross-site scripting）、缓冲区溢出（buffer overflow）及最新的 Flash/Flex 应用及 Web 2.0 应用曝露等方面安全漏洞的扫描