appscan-APP安全测试

众所周知,appscan是一款企业级应用安全漏洞扫描神器,但是很多刚刚接触的小伙伴经常会有这样的疑问:appscan怎么扫描移动应用(也就是我们常说的APP)。鉴于此,特作此文以供大家参考,文中有差错或纰漏还望指正为谢。
Appscan扫描web应用时一般采用自动探索扫描和手动探索扫描两种方式,具体操作可以详见我CSDN另外一篇文章:https://blog.csdn.net/qq_42610167/article/details/101011666
但是我们除了要对web应用进行扫描外,有时候还需要对移动应用APP进行一些安全扫描工作,那么问题来了:APP的扫描又该如何进行呢?其实appscan在设计之初就考虑到这个问题了,具体操作如下:

前置条件:让手机和电脑处于同一WIFI下

1,打开appscan,选择手动探索/外部设备。

appscan-APP安全测试_第1张图片

2,在弹出的对话框页面点击右上角“记录代理配置”。

appscan-APP安全测试_第2张图片

3,在弹出的页面选择记录代理页签,设置Appscan代理端口(可以设置为7777这些容易记住而且又不容易被其它程序占用的端口,也可以默认)。

appscan-APP安全测试_第3张图片

4,端口设置完毕后,打开手机WiFi设置页面进行代理设置,将代理IP设置为电脑IP,将端口设置为Appscan上面设置的代理端口。

appscan-APP安全测试_第4张图片

appscan-APP安全测试_第5张图片

5,手机代理设置完毕后,在appscan代理设置页面点击外部连接选择接收白名单,然后点击下方的“+”号将手机的IP加入白名单。

appscan-APP安全测试_第6张图片

6,尽量清理手机后台,尽量在局域网进行(减少一些杂包影响),运行APP,如果能在appscan记录页面看到流量包,即为代理设置成功,接下来就是尽量点击到APP的每一个菜单(最好是有增删改过程),点击完毕后,剩下的操作就是导入抓取到的流量包,导入以后直接点击扫描/继续仅测试即可。

appscan-APP安全测试_第7张图片

7,扫描的结果分析及报告生成什么的跟web应用是一样的,具体可以参见文章开头的链接,

你可能感兴趣的:(安全测试)