AppScan是用于web项目的安全测试工具,扫描网站所有url,自动测试是否存在各种类型的漏洞。appscan安装在Windows环境上,版本越高,规则库越全,扫描越全面。
扫描步骤如下:
一、打开软件,弹框欢迎界面,选择“创建新的扫描” -- “常规扫描(或Regular Scan)” ,弹出配置向导;
二、扫描配置向导:“选择想要执行的扫描类型”中选择“Web 应用程序扫描” ,点击下一步,填写“起始URL”,去掉勾选“我需要配置其他链接设置(代理、HTTP认证)”;
点击下一步,优先选择“记录登录”,点击右方红点记录按钮。若软件记录登录成功,会显示绿色勾图标,选择自动登录时也如此;
点击下一步,如无特殊要求,“测试策略”一般选择“缺省值”或“完成”,点击下一步,选择“我将稍后启动扫描”。初次扫描时可选择“自动探索”,勾选启动“扫描专家”,点击完成。
三、选择稍后启动时:
点击“配置”按钮,可查看或修改扫描的配置,如登录账号、测试策略、线程数等。测试策略依据项目测评要求而定,选择不同严重性、类型、侵入式、WASC 威胁分类、组件启用/禁用、使用CVSS,如无要求,则默认选择,进行全部扫描。线程数依据项目性能而定,线程越大,扫描越快,但使用自动探索时或会被登出,如被显示“会话检测问题”,降低线程数是其中一个解决办法。
选择自动探索时:
软件会自行运行,运行完毕后,左下角显示的已访问的页面数一般超2位数则正常,扫描专家也会给出相应的建议。若只有10几页,则不正常,需手动探索。
四、手动或自动探索完毕,点击菜单“扫描” -- “完全扫描”,等扫描完毕即可。可切换“问题”视图查看扫描出来的问题。
五、扫描完毕,点击“报告”按钮,导出报告,报告可根据自定义定制,导出修订咨询建议、全部URL等适用开发使用的数据。
值得注意:
1.频繁出现会话检测问题,可选择降低线程。如不能解决,可将登录方式改自动/提示登录。
2.探索+测试可在配置后使用“完全扫描”代替。
3.使用外部浏览器时需配置代理,点击菜单“工具” -- “选项” -- “扫描选项”,查看AppScan代理端口。打开外部浏览器,在外部浏览器的设置里,添加地址和端口号,如IE的“Internet选项” -- “连接” -- “局域网设置”,勾选代理服务器,填入地址和AppScan代理端口。运行时,手动打开IE浏览器,操作完毕关闭浏览器,操作即可被记录。
4.配置时可添加多步骤测,屏蔽特定url或指定url测试。
