安全扫描工具Appscan使用方法
一、appscan安装
ftp取包
安装步骤(默认安装下一步)
注:压缩包中LicenseProvider.dll替换到安装目录即可正常使用
二、Appscan使用方法
(1)启动软件进入主界面—>选择创建新的扫描,选择常规扫描:
(2)在弹出的扫描配置向导对话框中选择Appscan(自动或者手动)下一步:
(3)输入需要扫描的网址,linux服务器需要勾选第二行的选项,windows则不需要,进入下一步
(4)登录方法推荐使用记录,点击记录跳转至录制登录场景页面
(5)在appscan自带浏览器中输入登录的用户名密码,点击登录
(6)登录成功之后点击右下方的【我已登录到站点】,记录成功之后返回登录管理页面
(7)选择测试策略推荐使用缺省值策略,(尽量避免使用侵入式策略除非特殊要求,有可能导致服务器宕机)
(8)保持默认配置,点击完成
(9)选择是
(10)保存扫描文件
(11)开始评估扫描
(12)在扫描配置对话框中选择测试系统需要的配置,点击应用
配置环境
点击启动
(13)进行完全扫描
(14)等待扫描完成(时间可能会有点长),扫描结束查看安全问题
(15)导出安全分析报告
三、过程中的问题
(1)appscan检测到其已不再会话环境中
原因是记录登录时候,还存在验证码,验证码会刷新,再次登录时候验证码错误导致登录不上
还有是部分服务器也会存在这个问题,原因是服务器部署了创宇盾,同一个ip多次发送请求会被拦截
