AppScan使用教程

一、安装

IBM AppScan 该产品是一个领先的 Web 应用安全测试工具，曾以 Watchfire AppScan 的名称享誉业界。Rational AppScan 可自动化 Web 应用的安全漏洞评估工作，能扫描和检测所有常见的 Web 应用安全漏洞，例如 SQL 注入（SQL-injection）、跨站点脚本攻击（cross-site scripting）、缓冲区溢出（buffer overflow）及最新的 Flash/Flex 应用及 Web 2.0 应用曝露等方面安全漏洞的扫描。

参考文章：【安全测试】AppScan：下载与安装_顾三殇的博客-CSDN博客_appscan下载

二、使用

登录管理：主要用于配置一些网站需要进行登录后才可以进行操作，主要使用记录、自动这两种

记录：点击“记录”按钮，进行录制登录操作，会将登录信息进行保存

自动：输入用户名和密码，扫描时会自动根据根据输入的信息登录应用程序

测试策略介绍：

①缺省值：包含多有测试，但不包含侵入式和端口侦听器

②仅应用程序：包含所有应用程序级别的测试，但不包含侵入式和端口侦听器

③仅基础结构：包含所有基础结构级别的测试，但不包含侵入式和端口侦听器

④侵入式：包含所有侵入式测试（可能影响服务器稳定性的测试）

⑤完成：包含所有的AppScan测试

⑥关键的少数：包含一些成功可能性较高的测试精选，在时间有限时对站点评估可能有用

⑦开发者精要：包含一些成功可能性极高的应用程序测试的精选，在时间有限时对站点评估可能有用