appscan-APP安全测试

众所周知，appscan是一款企业级应用安全漏洞扫描神器，但是很多刚刚接触的小伙伴经常会有这样的疑问：appscan怎么扫描移动应用（也就是我们常说的APP）。鉴于此，特作此文以供大家参考，文中有差错或纰漏还望指正为谢。
Appscan扫描web应用时一般采用自动探索扫描和手动探索扫描两种方式，具体操作可以详见我CSDN另外一篇文章：https://blog.csdn.net/qq_42610167/article/details/101011666
但是我们除了要对web应用进行扫描外，有时候还需要对移动应用APP进行一些安全扫描工作，那么问题来了：APP的扫描又该如何进行呢？其实appscan在设计之初就考虑到这个问题了，具体操作如下：

前置条件：让手机和电脑处于同一WIFI下

1，打开appscan，选择手动探索/外部设备。

2，在弹出的对话框页面点击右上角“记录代理配置”。

3，在弹出的页面选择记录代理页签，设置Appscan代理端口（可以设置为7777这些容易记住而且又不容易被其它程序占用的端口，也可以默认）。

4，端口设置完毕后，打开手机WiFi设置页面进行代理设置，将代理IP设置为电脑IP，将端口设置为Appscan上面设置的代理端口。

5，手机代理设置完毕后，在appscan代理设置页面点击外部连接选择接收白名单，然后点击下方的“+”号将手机的IP加入白名单。

6，尽量清理手机后台，尽量在局域网进行（减少一些杂包影响），运行APP，如果能在appscan记录页面看到流量包，即为代理设置成功，接下来就是尽量点击到APP的每一个菜单（最好是有增删改过程），点击完毕后，剩下的操作就是导入抓取到的流量包，导入以后直接点击扫描/继续仅测试即可。

7，扫描的结果分析及报告生成什么的跟web应用是一样的，具体可以参见文章开头的链接，