安全测试工具appscan安装（二）

1.点击下一步，选择认证模式，出现登录管理的页面，这是因为对于大部分网站，需要用户名和密码登录进去可以查看许多内容，未登录的情况下就只可以访问部分页面。

用于登录测试项目站点的用户名以及密码。例如:用户名：admin 密码:123456

2、点击”下一步“，出现测试策略的页面，可以根据不同的测试需求进行选择

3、点击”下一步“，出现完成配置向导的界面，使用默认配置，也可根据需求更改，如下图：

4、点击”完成“，设置保存路径，即开始扫描，如下图：

扫描设置：

在测试策略中，有多种不同的分组模式，最经常使用的是“严重性”，“类型”，“侵入式”、“WASC威胁分类”等标准，根据不同分组选择的扫描策略，最后组成一个共同的策略集合。

测试策略选择步骤如下：

1选择缺省的扫描策略，切换到按照“类型”分类，取消掉“基础结构”和“应用程序”两种类型。

说明：把扫描策略置空，没有选择任何的扫描策略。在分组类型中选择“类型”分类，类型分类中只有两种类型：“基础结构”和“应用程序”，可以快速全部都取消掉。

2分组类型，切换到“WASC威胁分类”，选择“SQL注入”和“跨站点脚本编制”。

3.分组类型，切换到“类型”，发现这时候“基础结构”和“应用程序”两种类型的扫描策略都是选择上的模式，而且是虚线，说明这两种类型下均有部分扫描策略被选择了，我们不关心“基础结构”级别的安全问题，所以在这里取消“基础结构”。

4.分组类型，切换到“侵入式”，发现这时候“侵入式”和“非侵入式”两种类型的扫描策略都是选择上的模式。“侵入式”会有有比较强的副作用，可能对系统造成伤害，所以一般扫描生产系统的时候，很少选择。这里把“侵入式”的用例取消掉。

把选择好的测试策略，我们可以把它导出成一个模板，方便以后使用：