AppScan绕过登录验证码深入扫描

系列文章

AppScan介绍和安装
AppScan 扫描web应用程序
AppScan被动手动探索扫描

第四节-绕过登录验证码深入扫描

我们工作中最长碰到的工作场景是网站采用https协议，这时我们要用appScan进行扫描时，就需要先安装证书

1.证书安装

1.新建一个文件，点击【文件】，点击【新建】

2.选择【扫描web应用程序】

3.点击【取消】

4.点击【手动扫描】，选择【外部设备】

5.记录代理端口

6.点击【记录代理配置】

7.点击【记录代理】,点击【导出】

8.选择喜欢的位置，点击【保存】

9.点击【取消】

10.解压已经保存的证书

11.切换到火狐浏览器，点击【更多】，点击【设置】

12.输入证书，点击【回车】，点击【查看证书】

13.点击【证书颁发机构】，点击【导入】

14.选择证书，点击【打开】

15.勾选信任证书，点击【确定】

16.点击【确定】

2.手工探测绕过登录

扫描过程会遇到网站 存在 手机验证码，图形验证码，滑动验证等等，这时候想要深度扫描时，就需要进行登录绕过。有两种方法可以选择

第一：使用第三节课介绍的定制头解决

第二：使用手工探索-外置设备进行登录绕过，我们今天讲解第二种

1.新建一个文件，点击【文件】，点击【新建】

2.选择【扫描web应用程序】

3.输入被测网址，点击【下一步】

4.点击【记录】,点击【AppScan Chromium 浏览器】

5.进行登录

6.点击【我已登录到站点】

可以看到，登录回放是失败，遇到这种情况，我们今天使用手工探索-外置设备进行登录绕过

7.点击【关闭】

8.点击【取消】

9.点击【取消】

10.点击【手动扫描】，选择【外部设备】

11.记录代理端口

13.点击【代理】，点击【选项】

14.点击【编辑】

15.输入AppScan的端口,点击【保存】

16.切换到被测网站，点击【代理】，选择【appscan】

17.点击想要测试功能

18.点击【停止记录】

19.选择被测网站，点击【确定】

20.等待流量加载完成

21.点击【扫描】，点击【仅测试】

22.等待测试结果