安全性测试AppScan工具使用实战

Appscan是做安全性测试的一款工具，网上资料比较少，项目需要做安全性测试，用它做了web的扫描，可以发现一些问题，并且有原因分析和修复建议，感觉还不错，现在实战
1、打开工具，点击【文件】下的【新建】，来打开新建扫描页面



2、一般我们选择【常规扫描】，当然也可以根据需要来定义写模板，我是建议团队一起制定一个模板比较好，可以减少误报率和扫描时间



3、根据配置向导配置，选择扫描类型，【web Service扫描】需要下载其他组件，我们这里选【web 应用程序扫描】



4、URL地址就是我们要扫描的站点的地址，然后根据需要勾选扫描目录和大小写处理，如果你的网站有其他站点的连接，可以在【其他服务器和域】填写



5、我选择的是默认值，一般是



6、点击要测试的范围，完了后，点击关闭



7、点击下一步



8、选取测试策略，一般选的是【缺省值】，我这里选择的【仅应用程序】，整个工具扫描，靠的就是这个策略，他会影响扫描的时间长短



9、设置启动模式，一般默认值即可



10、保存



11、看到扫描，一般扫描时间根据测试范围和策略有关，这里可以看到扫描进度，和发现的问题个数



12、点击【问题】，查看问题



13、可以查看问题发现的请求和响应是什么



14、可以根据要求生成报告出来，给开发另外也建议将扫描脚本san文件给开发，方便开发分析定位问题（脚本有运行发现问题的请求和响应）




好了，本次到此，如果觉得有帮助，需要更多测试相关技术，欢迎来交流，联系方式如下：