Appscan是做安全性测试的一款工具,网上资料比较少,项目需要做安全性测试,用它做了web的扫描,可以发现一些问题,并且有原因分析和修复建议,感觉还不错,现在实战
1、打开工具,点击【文件】下的【新建】,来打开新建扫描页面
2、一般我们选择【常规扫描】,当然也可以根据需要来定义写模板,我是建议团队一起制定一个模板比较好,可以减少误报率和扫描时间
3、根据配置向导配置,选择扫描类型,【web Service扫描】需要下载其他组件,我们这里选【web 应用程序扫描】
4、URL地址就是我们要扫描的站点的地址,然后根据需要勾选扫描目录和大小写处理,如果你的网站有其他站点的连接,可以在【其他服务器和域】填写
5、我选择的是默认值,一般是
6、点击要测试的范围,完了后,点击关闭
7、点击下一步
8、选取测试策略,一般选的是【缺省值】,我这里选择的【仅应用程序】,整个工具扫描,靠的就是这个策略,他会影响扫描的时间长短
9、设置启动模式,一般默认值即可
10、保存
11、看到扫描,一般扫描时间根据测试范围和策略有关,这里可以看到扫描进度,和发现的问题个数
12、点击【问题】,查看问题
13、可以查看问题发现的请求和响应是什么
14、可以根据要求生成报告出来,给开发另外也建议将扫描脚本san文件给开发,方便开发分析定位问题(脚本有运行发现问题的请求和响应)
好了,本次到此,如果觉得有帮助,需要更多测试相关技术,欢迎来交流,联系方式如下: