IBM APPSCAN 之安全学习

0x00 前言

    BM Security AppScan Standard（以下简称 AppScan Standard）是业界一款优秀的 Web 应用安全测试工具，IBM Security AppScan 产品系列是 IBM 安全框架解决方案中应用安全的一个重要部分，可以实现对 Web 应用安全漏洞的动态扫描、代码静态分析，以及针对已上线的系统做 Web 安全攻击测试。本专题为您推介 AppScan 产品的使用指南和最佳实践，帮助您深入了解这一业界领先的 Web 应用安全产品，并在实践中使用它来保证 Web 应用的安全。

0x01 策略学习

1 漏洞搜索

   在菜单栏“ 扫描”  -->>>" 扫描配置“ （或者 F10 ）--->>>" 测试策略“ --->>>>" WASC威胁分类”、“所有分析技术”  ，首先我们勾选上所有的WASC分类，然后在搜索输入相关的漏洞进行搜索，例如“ 盲注”。结果如下图所示：

2 咨询

完成第二步后，我们可以中间的下面底栏在查看“ 咨询” ，查看漏洞的名称、产生的威胁、可能的原因、技术描述、受影响产品、引用和相关链接等重要描述。这些文字描述对于我们编写漏洞说明报告是很有帮助的，此外在“ 引用和相关链接 ” 有关于漏洞说明的培训和文档介绍，这个对于学习漏洞来说，也是很不错的平台。

3 筛选

    出现搜索后的结果，当然我们要适当筛选一下符合我们需求的漏洞：

4 培训视频

   当我们点击 “ Blind SQL Injection Training Module” 后，浏览器会自动跳到培训视频。如下图“

0x02 漏洞修复

1 修复概述

   在0x01当中，进行到第3 步时，我们可以中间的下面底栏在查看“ 修订建议” ，

2 代码修复

0x03 安全报告

  在最后的安全报告，我们需要对出现的安全问题编写一个汇总的安全报告，这个过程需要很多的文档信息支持，这时我们可以参考上面的方式，筛选漏洞，然后复制其中的漏洞修复建议。

欢迎大家分享更好的思路，热切期待^^_^^ !!！