安全测试工具APPScan安装与使用教程

安全测试工具APPScan安装与使用教程

一、安装

1、右键安装文件,以管理员身份运行,如下图所示:

安全测试工具APPScan安装与使用教程_第1张图片

2、点击【确定】


安全测试工具APPScan安装与使用教程_第2张图片

3、点击【安装】


安全测试工具APPScan安装与使用教程_第3张图片

4、选择:我接受许可协议中单位全部条款,点击【下一步】


安全测试工具APPScan安装与使用教程_第4张图片

5、点击【安装】到该目录


安全测试工具APPScan安装与使用教程_第5张图片

6、如果需求扫描Web services点击【是】安装该插件,如果不需要点击【否】如果只是扫描web就不需要安装

安全测试工具APPScan安装与使用教程_第6张图片

7、点击【完成】


安全测试工具APPScan安装与使用教程_第7张图片

8、安装完成之后把LicenseProvider.dll文件将它复制放到安装目录下覆盖原来的


安全测试工具APPScan安装与使用教程_第8张图片

二、使用步骤

1、打开AppScan软件,点击工具栏上的 文件–>新建,出现一个dialog


安全测试工具APPScan安装与使用教程_第9张图片

2、点击“Regular Scan”,出现扫描配置向导页面,这里是选择“AppScan(自动或手动)“,如图:


安全测试工具APPScan安装与使用教程_第10张图片

3、输入扫描项目目标URL


安全测试工具APPScan安装与使用教程_第11张图片

       4、点击”下一步“,选择认证模式,出现登录管理的页面,这是因为对于大部分网站,需要用户名和密码登录进去才可以查看许多内容,未登录的情况下就只可以访问部分页面。【

用于登录测试项目站点的用户名及密码,例如:用户名:admni密码“12345


安全测试工具APPScan安装与使用教程_第12张图片

5、点击”下一步“,出现测试策略的页面,可以根据不同的测试需求进行选择


6、点击”下一步“,出现完成配置向导的界面,这里使用默认配置,可根据需求更改,如下图:

安全测试工具APPScan安装与使用教程_第13张图片

7、点击”完成“,设置保存路径,即开始扫描,如下图:

安全测试工具APPScan安装与使用教程_第14张图片

扫描设置:

在测试策略中,有多种不同的分组模式,最经常使用的是“严重性”,“类型”,“侵入式”、“WASC威胁分类”等标准,根据不同分组选择的扫描策略,最后组成一个共同的策略集合。

测试策略选择步骤如下:

1选择缺省的扫描策略,切换到按照“类型”分类,取消掉“基础结构”和“应用程序”两种类型。

说明:把扫描策略置空,没有选择任何的扫描策略。在分组类型中选择“类型”分类,类型分类中只有两种类型:“基础结构”和“应用程序”,可以快速全部都取消掉。

安全测试工具APPScan安装与使用教程_第15张图片

2分组类型,切换到“WASC威胁分类”,选择“SQL注入”和“跨站点脚本编制”。

安全测试工具APPScan安装与使用教程_第16张图片

3.分组类型,切换到“类型”,发现这时候“基础结构”和“应用程序”两种类型的扫描策略都是选择上的模式,而且是虚线,说明这两种类型下均有部分扫描策略被选择了,我们不关心“基础结构”级别的安全问题,所以在这里取消“基础结构”。

安全测试工具APPScan安装与使用教程_第17张图片

4.分组类型,切换到“侵入式”,发现这时候“侵入式”和“非侵入式”两种类型的扫描策略都是选择上的模式。“侵入式”会有有比较强的副作用,可能对系统造成伤害,所以一般扫描生产系统的时候,很少选择。这里把“侵入式”的用例取消掉。

安全测试工具APPScan安装与使用教程_第18张图片

把选择好的测试策略,我们可以把它导出成一个模板,方便以后使用:

安全测试工具APPScan安装与使用教程_第19张图片
谢谢观看!!

你可能感兴趣的:(安全测试工具APPScan安装与使用教程)