安全性测试AppScan工具使用实战20150920

  Appscan是做安全性测试的一款工具,网上资料比较少,项目需要做安全性测试,用它做了web的扫描,可以发现一些问题,并且有原因分析和修复建议,感觉还不错,现在实战

1、打开工具,点击【文件】下的【新建】,来打开新建扫描页面

image

2、一般我们选择【常规扫描】,当然也可以根据需要来定义写模板,我是建议团队一起制定一个模板比较好,可以减少误报率和扫描时间

image

3、根据配置向导配置,选择扫描类型,【web Service扫描】需要下载其他组件,我们这里选【web 应用程序扫描】

image

4、URL地址就是我们要扫描的站点的地址,然后根据需要勾选扫描目录和大小写处理,如果你的网站有其他站点的连接,可以在【其他服务器和域】填写

image

5、我选择的是默认值,一般是

image

6、点击要测试的范围,完了后,点击关闭

image

7、点击下一步

image

8、选取测试策略,一般选的是【缺省值】,我这里选择的【仅应用程序】,整个工具扫描,靠的就是这个策略,他会影响扫描的时间长短

image

9、设置启动模式,一般默认值即可

image

10、保存

image

11、看到扫描,一般扫描时间根据测试范围和策略有关,这里可以看到扫描进度,和发现的问题个数

image

12、点击【问题】,查看问题

image

13、可以查看问题发现的请求和响应是什么

image

14、可以根据要求生成报告出来,给开发另外也建议将扫描脚本san文件给开发,方便开发分析定位问题(脚本有运行发现问题的请求和响应)

image

 

   好了,本次到此,如果觉得有帮助,需要更多测试相关技术,欢迎来交流,联系方式如下:

 

posted @ 2015-09-20 23:30  黑夜小怪  阅读(1152)  评论(0编辑  收藏  举报