Web漏洞扫描-Appscan安装配置及扫描

软件介绍

AppScan 是一种 Web 应用程序安全扫描工具，可帮助组织识别和修复其 Web 应用程序中的漏洞。它结合使用自动和手动测试技术来识别漏洞，例如跨站点脚本 (XSS)、SQL 注入和不安全的文件上传等。

AppScan 可用于在开发生命周期的不同阶段扫描 Web 应用程序，包括设计、开发和测试阶段。它还可用于对生产 Web 应用程序执行持续的漏洞评估。

该工具提供详细的报告，突出显示发现的漏洞，并提供如何修复这些漏洞的建议。它还提供了多种使其易于使用的功能，例如与流行的开发框架集成以及扫描在各种平台（包括 Java、.NET 和 PHP）上构建的应用程序的能力。

总体而言，AppScan 是希望提高 Web 应用程序安全性并防范网络威胁的组织的宝贵工具。

下载地址

链接：
https://pan.baidu.com/s/19TAHl8lYGmE0O753ULyzYA

密码：yvle

安装教程

1. 下载之后双击该exe文件进行安装。

图3.1 安装文件

1. 选择安装语言为中文

图3.2 安装语言选择

1. 选择我接受条款协议。

图3.3 安装协议

1. 选择合适的安装目录，默认也可以。

图3.4 自定义安装目录

1. 安装完成后出现一个安装组件的弹窗如图3.5，选择“是”。

图3.5 安装组件弹窗

1. 最后点击完成即可安装成功。

图3.6 安装成功

四、使用教程

1. 双击开启后，选择“创建新的扫描”

图4.1 开启界面

1. 选择“常规扫描”

图4.2 常规扫描

1. 选择web应用程序扫描，点击下一步。

图4.3 web应用程序扫描

1. 在“起始URL”下面输入需要启动扫描的URL，如果勾选了“仅扫描此目录中或目录下的链接”（如下图），则会只扫描起始URL目录或者子目录中的链接。

举例：如果我们的网站www.sina.com.cn下面有两个目录test1和test2，当起始URL中输入"
http://www.sina.com.cn/test1/"并勾选“仅扫描此目录中或目录下的链接”的时候，appscan不会扫描“www.sina.com.cn/test2”目录下的所有链接。

另外，如果被扫描对象的主机是unix或者linux，建议勾选下面的“将所有路径作为区分大小写来处理（Unix、Linux等）(T)”选项（如图4.4），因为unix或者linux是对大小写敏感的；如果被扫描对象的主机是windows主机，则没有必要勾选此项。

如果扫描的时候需要顺便扫描其它的服务器或者域，则需要在底下的“其它服务器和域”中添加对应的路径。

这里我用如意购购物网站举例：

图4.4 起始URL设置

1. 在显示的配置向导的登录方法页面，可以选择合适的登录方法便于后续扫描的开展。最常用的登录方法有两种：记录和自动，这里以“记录”为例。

图4.5 登录方法选择

1. 点击“记录”按钮，会弹出浏览器加载上面输入的扫描起始URL，这个时候正常的像操作web界面一样输入用户名/密码登录被测系统后，直接点击关闭窗口按钮即可，这个过程中会把整个登录过程给录制下来用于后面的登录验证。

图4.6 分析数据

1. 其它的保持默认选择，直接点击“下一步”。如果需要在登录注销页面上进行攻击测试，则需要勾选下面两个勾选框，然后点击下一步。

图4.7 测试策略界面

1. 选择完合适的测试策略之后，点击“下一步”，采用默认选择即可，点击“完成”。

图4.8 完成扫描配置

图4.9 正在扫描中