AppScan-使用入门

 

一、介绍

AppScan是IBM公司出的一款Web应用安全测试工具，采用黑盒测试的方式，可以扫描常见的web应用安全漏洞

工作原理

• 首先是根据起始页爬取站下所有可见的页面，同时测试常见的管理后台
• 获得所有页面之后利用SQL注入原理进行测试是否存在注入点以及跨站脚本攻击的可能
• 同时还会对cookie管理、会话周期等常见的web安全漏洞进行检测

AppScan功能十分齐全，支持登录功能并且拥有十分强大的报表。在扫描结果中，不仅能够看到扫描的漏洞，还提供了详尽的漏洞原理、修改建议、手动验证等功能

AppScan的缺点在于，作为一款商业软件，价格十分昂贵（建议使用PJ版本）

 

二、安装

这里就不多做赘述了   O(∩_∩)O哈哈~

 

三、使用

• 主界面

• 点击扫描WEB应用程序

• 输入起始URL，点击下一步

• 进入登录管理，点击记录打开浏览器

• 输入账号、密码点击我已登录到站点

• 等待配置

• 配置成功

• 测试策略

• 点击完成后，可保存扫描

• 结果

 

　　　　　　to be continued...