SCPPO:安全检测及分析神器—AppScan使用教程

【前言】

     最近项目准备验收，所以最近在做项目验收的准备工作；我们公司规定，项目的安全检测必须通过才能进行项目验收；公司的安全部门用的检测软件就是大名鼎鼎的IBM Rational Appscan;在教由安全部门检测外我们进行了自测，因此自己有机会对这款神器进行学习；另外会在接下来的博文中小编为大家分享我们是如何一步步解决项目中的安全问题，敬请期待。

【内容】

     1、Appscan是什么？

     它是由IBM公司开发的一款在web应用程序渗透测试舞台上使用最广泛的工具，有助于专业安全人员进行Web应用程序自动化脆弱性评估；(有木有感觉特别高大上哈，其实往下看一学就会)

     2、Appscan安装

      Appscan安装包下载地址：https://yunpan.cn/cBVCc7gqTSPIs访问密码：0d31

      安装过程和传统软件一模一样（下一步到底）在此不再赘述；

     3、Appscan使用教程

     （1）启动软件进入主界面—>选择创建新的扫描：

 

     （2）在弹出的新建扫描对话框中选择常规扫描：

                     

     （3）在弹出的扫描配置向导对话框中选择Web应用程序扫描进入下一步：

   

     （4）在此页面中填写需要扫描系统的网址，进入下一步：

   

     （5）选择登陆方式为记录，进入下一步：

  

     （6）选择一种测试策略（本例以完成为例）：

      几种测试策略说明：

      ①缺省值：包含多有测试，但不包含侵入式和端口侦听器
      ②仅应用程序：包含所有应用程序级别的测试，但不包含侵入式和端口侦听器
      ③仅基础结构：包含所有基础结构级别的测试，但不包含侵入式和端口侦听器
      ④侵入式：包含所有侵入式测试（可能影响服务器稳定性的测试）
      ⑤完成：包含所有的AppScan测试
      ⑥关键的少数：包含一些成功可能性较高的测试精选，在时间有限时对站点评估可能有用
      ⑦开发者精要：包含一些成功可能性极高的应用程序测试的精选，在时间有限时对站点评估可能有用

   

     （7）启动全面自动扫描：

  

     （8）在自动保存对话框中选择是：

                 

     （9）将扫描文件保存在本机目录下：

              

     （10）进行第一遍的探索：

 

     （11）探索完成获得探索到的结果：

 

     （12）在扫描配置对话框中选择测试系统需要的配置，点击应用

 

     （13）进行继续完全扫描

 

     （14）等待扫描完成（时间可能会有点长，可以喝杯咖啡哈）

 

       4、Appscan好的学习网站：

       自己在网上学习的时候发现一个不错的Appscan学习网站：http://www.ltesting.net/ceshi/ceshijishu/rjcsgj/rational/appscan/

【总结】

     安全猛于虎，在当今这个互联网时代，网上生活已然成为人们生活中重要的组成部分；与此同时也诞生很多黑客，如何提高系统的安全性从而避免一些恶意攻击，成为很多公司绕不开一个弯儿；Appscan或许会助力在一定程度上减少恶意攻击；Appscan一款你值得拥有的安全检测及分析神器。